用户帐户创建和合法 MFA 注册(使用移动身份验证器)。模拟敏感数据显示(姓/名、信用卡信息、SSN)。
两个后端功能:
真实后端:实现标准 MFA 流程,允许用户注册到应用程序。
虚假后端:通过网络钓鱼模拟功能模拟受害者用户(硬编码),将其信息插入此应用程序用户提供的网络钓鱼程序中。
使用 Evilginx(或类似产品)进行网络钓鱼模拟以生成网络钓鱼链接。
攻击方式:
自动基于电子邮件的攻击:后端收到包含网络钓鱼链接的电子邮件,自动点击该链接,模拟身份验证并检索 JWT 令牌。
手动(自我网络钓鱼)攻击:用户单击网络钓鱼链接并手动完成 MFA 流程以查看完整的端到端流程。
下载地址
https://github.com/jfmaes/phisherman原文始发于微信公众号(TtTeam):钓鱼和 MFA 绕过技术
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论