Когда-то фишинг выглядел просто: поддельная страница, криво скопированная форма логина — и жертва, которая, возможно, не заметит подвох. Но времена изменились. Сегодня для обмана пользователей применяют более изощрённые техники, включая атаки через фишинговые прокси. Один из самых известных инструментов для этого — Evilginx2 .
Что такое Evilginx2 и почему о нём стоит знать
Evilginx2 — это продвинутый фреймворк для проведения фишинг-атак через прокси. Он перехватывает не только логины и пароли, но и токены аутентификации, обманывая даже двухфакторную защиту (2FA). Иными словами, жертва может ввести логин, пароль и код 2FA — а злоумышленник тут же получит доступ, будто это сделал сам пользователь.
Ирония в том, что Evilginx2 не ломает 2FA в привычном смысле. Он просто обходит её, как хитрый гость, прошмыгнувший за вашей спиной в закрытую дверь.
Особенности Evilginx2:
- Работает как обратный прокси между пользователем и целевым сайтом.
- Перехватывает сессионные cookies в реальном времени.
- Позволяет атаковать любые сайты с авторизацией.
- Поддерживает создание "ловушек" для различных сервисов — от Google до Facebook.
Как работает атака через фишинговый прокси
Вместо поддельной страницы, Evilginx2 создаёт "зеркало" реального сайта. Пользователь сам видит оригинальный интерфейс, подключается через HTTPS, а зелёный замочек в браузере (если нет HSTS) даёт ложное чувство безопасности. Всё, что вводит жертва, моментально проксируется через сервер злоумышленника.
- Жертва получает ссылку на фишинговый домен, замаскированный под настоящий.
- Переходит на страницу логина, вводит данные и проходит двухфакторную проверку.
- Прокси Evilginx2 перехватывает сессионные токены — вместо логина и пароля.
- Злоумышленник использует полученные токены для входа без необходимости повторной авторизации.
И всё это — без подозрительных поддельных форм. Чисто, красиво, почти художественно.
Почему фишинг через Evilginx2 так опасен
Двухфакторная аутентификация долгое время воспринималась как «последняя линия обороны». Однако с появлением Evilginx2 стало очевидно: защита пароля с помощью SMS или кода из приложения — это хорошо, но недостаточно.
Особенно уязвимыми становятся:
- Корпоративные аккаунты (Google Workspace, Microsoft 365).
- Учётные записи разработчиков (GitHub, GitLab).
- Социальные сети, откуда могут начинаться атаки на целые компании.
Фишинговые прокси не просто крадут доступ — они предоставляют злоумышленнику реальный сеанс пользователя, позволяя делать всё, на что у того хватило бы прав.
Как Evilginx2 создаёт ловушки для сервисов
Фреймворк поддерживает так называемые "phishlets" — мини-конфигурации для определённых сайтов. Они описывают, какие заголовки передавать, какие параметры менять, какие страницы отображать. Благодаря этому создаётся впечатление, что пользователь действительно работает с оригинальным сайтом.
Среди популярных целей:
Некоторые особо продвинутые фишеры создают свои phishlets для малоизвестных внутренних порталов и сервисов — так что речь не только о больших брендах.
Защита от атак через Evilginx2: что реально работает
Простые рекомендации вроде "проверьте URL" здесь не всегда спасают. Когда фишинговая ссылка выглядит как настоящая (например, через использование IDN-доменов или тщательно подобранных субдоменов), задача пользователя усложняется.
Что помогает на практике:
- Аппаратные ключи безопасности (например, YubiKey) с поддержкой FIDO2/WebAuthn. Они не отправляют коды через сеть — а значит, перехват невозможен.
- Принудительное использование HSTS (HTTP Strict Transport Security) и защита от downgrade-атак.
- Обучение сотрудников выявлению подозрительных ссылок и доменов.
- Мониторинг подозрительной активности на уровне входов в аккаунты.
И, конечно, если ваша инфраструктура поддерживает «условный доступ» (например, в Google или Microsoft), настройте жёсткие политики: запрет на вход с неизвестных устройств, геофильтрацию и MFA через привязанные устройства.
Кому и зачем нужен Evilginx2
Официально разработчики Evilginx2 заявляют, что фреймворк предназначен "для тестирования безопасности и образовательных целей". Но, как это часто бывает, инструмент быстро ушёл в тень.
Сегодня его используют:
- пентестеры и специалисты по Red Team-операциям;
- киберпреступники для таргетированных атак;
- недобросовестные конкуренты в борьбе за доступ к корпоративной информации.
И хотя сам по себе Evilginx2 — это просто код, последствия его применения могут быть катастрофическими.
Личное мнение и немного философии
Можно сколько угодно спорить о том, хорош или плох Evilginx2. Но факт остаётся фактом: он блестяще показывает одну простую истину — любая защита, даже самая продвинутая, срабатывает только тогда, когда работает контекст. И если контекст взломан — все ваши коды, токены и пароли становятся бесполезными.
Ирония современной безопасности в том, что чем сложнее защита, тем изощрённее становятся атаки. Evilginx2 — лишь одно из многих напоминаний: нельзя полагаться на один уровень защиты. Всегда должна быть сеть ловушек, проверок и ограничений, потому что в цифровом мире осторожность — это не паранойя, а здравый смысл.
Поэтому оставайтесь внимательными, проверяйте настройки безопасности своих аккаунтов и не думайте, что "со мной такого не случится". Как показывает практика — случается. И чаще, чем хотелось бы.
