セキュリティ情報
二要素認証を回避するツールキット「EvilProxy」が発見される
Resecurityは9月5日(現地時間)、二要素認証を回避する新しいフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)が発見されたと発表した。
このPhaaSは「EvilProxy」と命名された。「EvilProxy」は、二要素認証による保護を回避する手段として、リバースプロキシとクッキーインジェクションを使用し、被害者のセッションをプロキシングするという。これにより、Apple、Facebook、GitHub、Google、Dropbox、Microsoft、Twitter、Yahooなどのアカウントを侵害するフィッシングリンクが作成される。
「EvilProxy」は、サイバー犯罪者が利用しているダークWebで宣伝されているため、今後広がり、さまざまな手法に応用される危険がある。
(川原 龍人/びぎねっと)
[関連リンク]
アナウンス