社会工作者技术和双因素认证机制 社会工程活动一直是公司的一大威胁，因为它们的目标是整个安全链中最薄弱的环节：人。在典型的攻击情形中，攻击者窃取目标用户的用户名和密码并将其存储以供以后使用。双因素身份验证（2FA）或多因素身份验证（MFA）专门用于处理此类威胁。 2FA相当于在普通用户名和密码之上添加一层身份验证机制。两个最常见的2FA是“一次性密码”和“推送通知”。 “一次性密码”由绑定到用户的辅助设备（例如密码生成器）生成。此类密码通常在30秒至60秒后过期，并且不可重复使用。 “推送通知”需要向用户的移动设备发送确认请求，用户可以在确认后成功登录。因此，这两种方法可以有效地防止传统的捕鱼活动。 实时钓鱼 虽然安全专家强烈建议2FA用于个人或商业软件，但这不是一个可靠的解决方案，因为实时网络钓鱼技术很容易打败2FA。此网络钓鱼攻击技术涉及攻击者与目标用户之间的实时交互。例如，网络钓鱼网站将提示用户输入用户名，密码和一次性密码。登录后，将显示“登录成功”页面，但是此一次性密码未使用，但已发送给攻击者。此时，攻击者将拥有一个非常短的时间窗口，并在用户凭据到期之前使用它。 许多攻击者在社会工作活动中使用这些技术，并且自2010年以来发生了实时网络钓鱼攻击。但是这种类型的攻击在很大程度上被忽略了，因为这种攻击的实施非常困难。本文的目的是让人们改变这一概念并让人们意识到这一点，然后鼓励安全社区开发新的解决方案。 工具介绍 为了提高社会工作者技术评估的能力，我们开发了一种名为ReelPhish的工具，可用于演示实时捕鱼技术。该工具的主要组件运行在攻击者的系统上。它运行Python脚本并实时侦听攻击者构建的网络钓鱼站点，并使用Selenium框架来驱动Web。该工具可控制攻击者的Web浏览器并访问特定网页，与HTML对象进行交互以及对内容进行爬网。 ReelPhish的第二个组成部分是网络钓鱼网站本身。嵌入在网络钓鱼网站中的代码可以将捕获的用户凭据发送给攻击者的设备。当网络钓鱼工具收到凭证时，它使用Selenium启动浏览器并使用合法网站上的凭据完成登录。网络钓鱼网站服务器和攻击者系统之间的所有通信都是通过加密的SSH通道完成的。 下图显示了ReelPhish的工作流程： 工具下载 [GitHub代码库] 安装步骤 1.   安装最新版本的Python 2.7.x; 2.   安装Selenium; 3.   下载网络驱动器： IE- [下载地址] Firefox- [下载地址] Chrome- [下载地址] 运行ReelPhish ReelPhish由两部分组成：网络钓鱼网站处理代码和Python脚本。可以根据要求设计钓鱼网站。 PHP示例代码位于GitHub存储库的/examplesitecode目录中。示例代码的功能是从HTTP POST请求中提取用户名和密码，并将其发送到Python网络钓鱼脚本。网络钓鱼脚本侦听本地端口并等待，直到包含凭据的数据包到达。到达后，网络钓鱼脚本会打开浏览器窗口的新实例，然后访问特定的URL地址并使用浏览器提交收集的凭据。 我们建议您使用反向SSH通道来处理网络钓鱼站点和Python脚本之间的通信，因此我们的示例PHP网络钓鱼网站代码会将凭据提交到localhost: 2135。 ReelPhish参数 1.   您必须在-browser参数中指定要使用的浏览器。支持的浏览器包括InternetExplorer（“-browser IE”），Firefox（“-browser FF”）和Chrome（“-browserChrome”）。支持的操作系统包括Windows和Linux。 Chrome配置很麻烦。请参阅[本文档]。 2.   您必须指定URL地址，脚本将自动访问此URL并提交凭据数据。 3.   其他可选参数包括： - 设置日志参数（-loggingdebug）进行调试，观察并记录事件日志; - 设置submit参数（-submit）以自定义浏览器的submit元素; - 设置覆盖参数（-override）以忽略缺少的表单元素; - 设置页码参数（-numpages）以增加认证页面的数量; *参考来源：fireeye，FB小编Alpha_h4ck编译