• Questo attacco di phishing AitM è stato automatizzato grazie a strumenti come Evilginx2, Modlishka e Muraena.
• Una passkey impedisce agli intrusi di mettersi nel mezzo di tutto, ma Stewart ha rivelato una nuova versione dell'attacco AitM: ottenere l'opzione là fuori.
• Utilizzando il kit di phishing di Evilginx, Stewart ha dimostrato come manipolare la pagina di accesso presentata mentre viene trasmessa all'utente finale, modificando l'HTML o usando JavaScript iniettato.
• L'opzione "sign-in con passkey" può essere eliminata, inducendo gli utenti a utilizzare nome utente e password, che possono essere raccolte dagli aggressori.
https://www.itbrew.com/stories/2024/07/16/industry-pro-shows-one-way-to-circumvent-passkeys-erase-the-option?mbcid=36077160.9097&mblid=3a590dac7b8a&mid=e5ddcc7fb5cf6b1a21f99922df76bf29&utm_campaign=itb&utm_medium=newsletter&utm_source=morning_brew