当地时间9月8日，英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世，享年96岁。2015年，她成为历史上在位时间最长的英国君主，打破了她的曾曾祖母维多利亚女王创下的纪录。

各国政府纷纷对此表示哀悼，女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日，英国伦敦深夜举行女王伊丽莎白二世葬礼彩排，并将于19日为女王举行隆重的国葬仪式。

假借悼念之名，行网络攻击之实

就在大家哀悼女王之际，Proofpoint安全研究人员却发现，毫无底线的攻击者假借悼念之名，行网络攻击之实，以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势，其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是，向用户发送一封带有恶意链接的电子邮件，内容如下图所示：

邮件以 Microsoft团队的名义发出，大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品，以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息，包括单词、邮件、相片等。如果用户也想参与悼念活动，点击链接登录微软账户即可。

很明显，这是一个虚假恶意的钓鱼链接，重定向的域名并没有让用户提交悼念文本，而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证（MFA）等私密信息。一旦这些敏感的信息被攻击者获取，势必会对用户带来严重的影响，甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是，在此次网络钓鱼攻击中，安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入，以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容，FreeBuf在 （EvilProxy文章） 进行了说明。

事实上，安全研究人员并非首次观察到此类攻击方式，在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化，那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬，当时其背后的攻击组织发布了一段演示视频，详细介绍了该工具是如何提供高级网络钓鱼攻击服务，并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单，攻击将受害者引导至网络钓鱼页面，使用反向代理获取用户期望的所有合法内容，包括登录页面——当流量通过代理时，它会进行嗅探。通过这种方式，攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作，从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie，费用为150美元（10天）、250美元（20 天）或400美元（30天）。而针对Google帐户攻击的使用费用更高，为 250/450/600 美元。Resecurity还在社交平台上演示了，EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

参考来源

https://securityaffairs.co/wordpress/135764/cyber-crime/queen-elizabeth-ii-phishing.html