この攻撃は「セッションハイジャックとリアルタイムでの認証情報傍受を通じて2FAを回避する」というものであり、以下に説明するような避けるべき危険なサインインページが存在する。
この警告を発しているのは、SlashNextという企業で、同社が公表したレポート(危険な画面イメージ例付き)によると、新たなフィッシングキットAstarothが問題となっている。感染したデバイス上で、このキットはユーザーと正規のアカウントサインインページとの間にMITM(マン・イン・ザ_ミドル)攻撃を仕かけ、「ログイン資格情報、トークン、セッションCookieをリアルタイムで取得し、事実上2FAを回避する」という。
このAstarothは1月に初めて報告され、「ログイン資格情報だけでなく、2FA認証トークンやセッションCookieを生成と同時に高速で傍受する点」に特徴がある。特に危険なのは、「リバースプロキシ機能を利用したリアルタイム傍受によって、驚くほどすばやく正確に2FA防御を突破する」という点である。
SlashNextは次のように警告している。「従来のフィッシングキットは、静的な偽ログインページで主に一次的な認証情報を盗むだけで、2FAの層には手がおよばなかった。しかしAstarothはリアルタイムであらゆる認証データを傍受し、従来型のフィッシング手口やそれに対応するセキュリティ対策をほぼ無力化してしまう」
