Evilginx2 — MFA bypass
Reverse proxy phishing.
Categoría: Phishing & Social 🎯 Trinchera — Reverse proxy phishing. Tu dominio sirve la página real de Microsoft/Google/Okta vía proxy; capturas credenciales + session cookie tras MFA completado. La session cookie ya pasó MFA → MFA defeated. 🔗 Kill chain —evilginx2 -p phishlets/ → phishlets enable o365 → lures create o365 → URL phishing → víctima autentica con
MFA → session cookie en consola atacante. Importas la cookie en
navegador → sesión activa de la víctima.
📡 Huella defensiva — Sign-in logs de Microsoft Entra:
campaña de phishing reportada hasta 2025 contra Gmail,
Outlook, Yahoo (Abnormal).
Detección por User Agent + IP del proxy.
⚠️ Falso amigo — Phishing-resistant MFA (FIDO2/passkeys) lo
mata — el authenticator no firmará para un dominio distinto del
registrado.
🛡️ Remediación — Migrar a passkeys/FIDO2 (no SMS/TOTP/push),
Conditional Access con compliant device, Azure Identity Protection
risk-based.
← Volver al glosario completo Última actualización: 2026-06-11