行業新聞與部落格

網路安全研究人員發現了利用 Salty2FA 工具包的網路釣魚活動，揭示了先進的技術，凸顯了網路犯罪活動日益專業化。

該套件展示了高度的技術創新，其分層防禦設計可以繞過傳統的檢測。

Ontinue 網路防禦中心的研究人員發現了此次攻擊活動的幾種獨特方法：

• 基於會話的子網域輪換，為每個受害者會話分配唯一的網域名稱

• 濫用 Aha [.] io 等合法平臺來投放網路釣魚誘餌

• 企業品牌複製，使用公司特定的徽標和顏色定製登入頁面

• 整合 Cloudflare 的 Turnstile 來阻止自動分析並過濾安全供應商流量

這種策略組合使得該操作在欺騙使用者方面特別有效，同時使法醫調查變得複雜。 

Zimperium 高階銷售工程師 Brian Thornton 表示：“Salty2FA 再次提醒我們，網路釣魚已經發展成為企業級操作，並配備了先進的規避策略和令人信服的 MFA 模擬。”

“透過利用可信平臺和模仿企業門戶，攻擊者模糊了真實流量和欺詐流量之間的界限。”

該攻擊活動採用分層結構，首先進行重定向，旨在模仿合法的 .com.de 網域名稱。受害者會先受到 Cloudflare 的保護，然後被引導至憑證竊取門戶。

每個階段都會為自動分析引入新的障礙，最終形成使用受害者公司身份定製的欺詐性登入頁面。

測試證實，醫療保健、金融、科技、能源和汽車等行業均成為攻擊目標。透過根據受害者的網域名稱定製品牌，攻擊者最大限度地提升了社會工程學的成功率。

Bugcrowd 首席戰略和信託官 Trey Ford 表示：“這不是針對老年人的典型騙局；這是針對具有真正分層安全措施的複雜目標。”

“這裡的能力旨在按順序擊敗——逃避、品牌推廣、平臺使用以及設計和部署的複雜性。”

該工具包還使用混淆的 JavaScript 來阻止瀏覽器開發者工具、檢測除錯延遲，並在嘗試分析時強制執行無限迴圈。此外，關鍵字串僅在執行時進行異或加密和解密，從而隱藏了靜態檢查的操作邏輯。

網路分析進一步揭示了多個基礎設施節點之間的跨域流量，這種設計旨在分散風險和逃避刪除。

雖然歸因尚不明確，但系統性分析表明這是一個有組織的威脅集團。分析人士指出，當釣魚入口網站對合法身份驗證系統進行精確到畫素的模仿時，依賴拼寫錯誤或未加密網站等傳統指標已不再可靠。

Keeper Security 首席資訊保安官 Shane Barney 表示：“Salty2FA 標誌著網路釣魚 2.0 時代的到來——這種攻擊旨在繞過組織曾經信任的安全措施。”

“當對手能夠攔截最常見的驗證方法時，多因素身份驗證不再是安全的保證。”

Darktrace 高階副總裁 Nicole Carignan 補充道：“儘管人們越來越重視電子信箱安全，但企業及其員工仍然受到網路釣魚攻擊的困擾 [...]。企業不能依賴員工作為抵禦這些攻擊的最後一道防線。”

研究結果強調了加強使用者意識以及更新防禦策略以應對動態、多層次威脅的必要性。