研究人员展示了在野外检测MitM网络钓鱼工具的新方法

不少于1220个中间人（MitM）钓鱼网站被发现以Instagram、谷歌、贝宝、苹果、Twitter和LinkedIn等热门在线服务为目标，目的是劫持用户的凭据，并进行进一步的后续攻击。

这些发现来自石溪大学（Stony Brook University）和帕洛阿尔托网络公司（Palo Alto Networks）的一组研究人员进行的一项新研究，他们展示了一种新的指纹技术，可以利用MitM网络钓鱼套件固有的网络级属性，在野外识别它们，有效地自动化钓鱼网站的发现和分析。

被称为“PHOCA”和#8212；以拉丁语“印章”和#8212命名；该工具不仅有助于发现以前看不见的MitM网络钓鱼工具包，还可用于检测和隔离来自此类服务器的恶意请求。

网络钓鱼工具包旨在自动化和简化攻击者进行凭证窃取活动所需的工作。它们是打包的ZIP文件，附带随时可用的电子邮件钓鱼模板和合法网站网页的静态副本，允许威胁行为人冒充目标实体，以诱骗毫无戒备的受害者披露私人信息。

但近年来，在线服务越来越多地采用双因素身份验证（2FA），这意味着这些传统的网络钓鱼工具包不再是侵入受额外安全层保护的帐户的有效方法。进入MitM网络钓鱼工具包，它更进一步，完全不需要维护“真实”的网页。

MitM网络钓鱼工具包使欺诈者能够坐在受害者和在线服务之间。攻击者没有建立通过垃圾邮件分发的虚假网站，而是部署了一个仿冒网站，该网站反映了目标网站的实时内容，并充当实时转发双方请求和响应的渠道，从而允许从2FA认证的帐户中提取凭据和会话cookie。

石溪大学的研究人员布莱恩·康德拉基、巴巴克·阿明·阿扎德、奥列克西·斯塔罗夫和尼克·尼基福拉基斯在一篇随附的论文中说：“它们充当反向代理服务器，在受害者用户和目标网络服务器之间进行通信，同时从传输中的网络数据中获取敏感信息。”。

研究人员设计的方法包括一个机器学习分类器，该分类器利用TLS指纹和网络时间差异等网络级特征，对MitM钓鱼工具包托管的反向代理服务器上的钓鱼网站进行分类。它还需要一个数据收集框架来监控和抓取OpenPhish和PhishTank等开源网络钓鱼数据库中的可疑URL。

其核心思想是测量放置MitM网络钓鱼工具包时产生的往返时间（RTT）延迟，这反过来会增加从受害者浏览器发送请求到从目标服务器收到响应的持续时间，因为反向代理会调解通信会话。

研究人员解释说：“由于必须维护两个不同的HTTPS会话来代理受害者用户和目标web服务器之间的通信，因此在与反向代理服务器通信时，各种数据包RTT（例如TCP SYN/ACK请求和HTTP GET请求）的比率将远高于直接与源web服务器通信时的比率。”。“当反向代理服务器截获TLS请求时，这个比率会进一步放大，对于MitM网络钓鱼工具包来说也是如此。”

在2020年3月25日至2021年3月25日间持续了365天的实验评估中，该研究共发现了1220个网站，使用MITM钓鱼工具包，主要散布在整个美国和欧洲，依赖于亚马逊、DigialOne、微软和谷歌的托管服务。这些工具包最受关注的一些品牌包括Instagram、谷歌、Facebook、微软Outlook、贝宝、苹果、Twitter、Coinbase、雅虎和LinkedIn。

研究人员说：“PHOCA可以直接集成到当前的网络基础设施中，如钓鱼封锁列表服务，以扩大其对MitM钓鱼工具包的覆盖范围，以及检测源自MitM钓鱼工具包的恶意请求的流行网站。”，此外，唯一识别的MitM网络钓鱼工具包可以“增强web服务提供商查明恶意登录请求并在身份验证完成之前标记它们的能力”