Evilginx, phát triển bởi kgretzky, là một khuôn khổ tấn công “man-in-the-middle” (MITM) được sử dụng cho việc lừa đảo để lấy thông tin đăng nhập cùng với cookie phiên làm việc, điều này cho phép người sử dụng vượt qua bảo vệ xác thực 2 yếu tố (2-factor authentication).
Trong một cuộc tấn công MITM, Evilginx đóng vai trò như một người trung gian giữa người dùng và trang web mà họ đang cố gắng truy cập. Khi một người dùng nhập thông tin đăng nhập của mình vào một trang web giả mạo (thường được tạo ra bởi kẻ tấn công và trông giống hệt trang web thật), thông tin này được chuyển tới kẻ tấn công. Không chỉ dừng lại ở việc lấy cắp thông tin đăng nhập, Evilginx còn có khả năng lấy cắp cookie phiên, cho phép kẻ tấn công truy cập vào tài khoản mà không cần mật khẩu, thậm chí cả khi có bảo vệ xác thực 2 yếu tố.
Sự nguy hiểm của Evilginx nằm ở chỗ nó có thể bỏ qua bảo vệ xác thực 2 yếu tố bằng cách lấy cắp cookie phiên, làm cho việc bảo vệ thông tin đăng nhập bằng cách sử dụng xác thực 2 yếu tố trở nên vô ích nếu người dùng không nhận thức được rằng họ đang trở thành nạn nhân của một trang web giả mạo.
Do tính chất nguy hiểm và tiềm năng lạm dụng của nó, Evilginx thường được xem xét trong bối cảnh an ninh mạng và được nghiên cứu bởi các chuyên gia bảo mật để phát triển các biện pháp phòng chống hiệu quả hơn.
Evilginx hoạt động dựa trên cơ chế tấn công “man-in-the-middle” (MITM), qua đó nó đặt mình vào giữa người dùng và trang web mục tiêu. Dưới đây là cơ chế hoạt động chi tiết của Evilginx:
- Thiết lập: Kẻ tấn công thiết lập Evilginx trên một máy chủ kiểm soát. Họ cũng tạo ra một trang web giả mạo, thường là bản sao của một trang web thực sự, ví dụ như một trang đăng nhập ngân hàng hoặc mạng xã hội.
- Phishing và Thu hút Nạn Nhân: Kẻ tấn công gửi một liên kết tới trang giả mạo này thông qua email, tin nhắn, hoặc các kênh khác. Mục tiêu là lừa người dùng nhấp vào liên kết và nhập thông tin cá nhân của họ vào trang web giả mạo.
- Lấy dữ liệu: Khi nạn nhân nhập thông tin đăng nhập của mình vào trang web giả mạo, thông tin này được chuyển qua máy chủ của Evilginx. Trong quá trình này, Evilginx lưu trữ thông tin đăng nhập và bất kỳ cookie nào được gửi từ trình duyệt của nạn nhân.
- Tạo phiên giả mạo: Evilginx sau đó sử dụng thông tin đăng nhập và cookie để tạo một phiên làm việc mới trên trang web thực sự mà không cần người dùng biết. Điều này cho phép kẻ tấn công truy cập vào tài khoản của nạn nhân mà không cần thông tin đăng nhập mỗi lần.
- Bypass Xác Thực 2 Yếu Tố: Nếu tài khoản có bảo mật xác thực 2 yếu tố, Evilginx cũng có thể bắt và sử dụng mã xác thực tạm thời hoặc cookie phiên để vượt qua bước này. Kẻ tấn công có thể sử dụng thông tin này để truy cập vào tài khoản mà không kích hoạt bất kỳ cảnh báo nào vì họ có đầy đủ thông tin cần thiết để giả mạo là chủ tài khoản hợp pháp.
- Khả năng Kiểm soát và Thu thập dữ liệu: Kẻ tấn công có thể tiếp tục theo dõi hoạt động của người dùng, lấy thêm thông tin cá nhân hoặc tiến hành các hành động độc hại khác trong tài khoản đó.
Evilginx là một công cụ mạnh mẽ và nguy hiểm vì nó có thể vượt qua các biện pháp bảo mật truyền thống như xác thực hai yếu tố, khiến người dùng cần phải cực kỳ cảnh giác với các cuộc tấn công phishing. Để bảo vệ mình, người dùng cần được giáo dục về các dấu hiệu của các trang web giả mạo và luôn kiểm tra URL trước khi nhập thông tin cá nhân.