暗网出现一个名为 EvilProxy 的反向代理网络钓鱼即服务 (PaaS) 平台，推广文案中称承诺窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。目前，尚不清楚该服务如何设置反向代理，让使用者能够绕开验证入侵攻击目标的账户。

反向代理是位于目标受害者和合法身份验证端点之间的服务器，例如公司的登录表单。当受害者连接到网络钓鱼页面时，反向代理会显示合法的登录表单、转发请求并从公司网站返回响应。当受害者将他们的凭据和 MFA 输入到网络钓鱼页面时，它们会被转发到用户登录的实际平台服务器，并返回一个会话 cookie。

但是，由于攻击者的代理位于中间，它也可以窃取包含身份验证令牌的会话 cookie。然后，攻击者就可以使用此身份验证 cookie 以用户身份登录站点，绕过配置的多因素身份验证保护。[阅读原文]