据报道,一款名为Sneaky2FA的网络钓鱼即服务(PhaaS)工具近期升级,引入了“浏览器中的浏览器”攻击手法(Browser-in-the-Browser),利用RedTeamers开发的高级仿真技术,对双因素认证环境下的用户实施更加真实的钓鱼欺骗。该攻击方式能够在用户页面伪造几乎无法分辨的网页登录窗口,以获取用户的凭据及二次认证信息,大大降低传统双因素登录机制的安全防线。
此类服务的发展对企业及个人用户的数据安全构成严重威胁,专家建议加强用户警觉性并更新安全防护措施,以抵御不断升级的网络钓鱼攻击。