Over 70 domæner brugt til at omgå MFA i angreb mod amerikanske universiteter

Eskil Sørensen

12.09.2025 12:06

Phishingkampagne mod amerikanske universiteter viser MFAs sårbarhed

En ny rapport fra Infoblox afslører en omfattende og vedholdende phishingkampagne, der har ramt mindst 18 amerikanske universiteter mellem april og november 2025. Angrebene har anvendt den avancerede phishingkit Evilginx til at omgå Multi-Factor Authentication (MFA) og stjæle loginoplysninger fra studerende og ansatte.

Det skriver Hack Read.

Angrebets omfang og metoder

Til at gennemføre angrebet udnyttede trusselsaktørerne en Adversary-in-the-Middle (AiTM)-teknik via Evilginx, som fungerer som en digital mellemmand. Når ofrene klikkede på phishinglinks i personligt tilpassede e-mails, blev de ført til en falsk login-side, der efterlignede universitetets Single Sign-On (SSO)-portal. Her blev både brugernavn, adgangskode og den session-cookie, der genereres efter MFA-godkendelse, opsnappet. Denne cookie giver fuld adgang til kontoen – selv efter MFA er gennemført.

Infoblox dokumenterer, at kampagnen benyttede TinyURL-links for at skjule den egentlige destination og skabte en illusion af legitimitet. Angriberne skiftede konstant domæner og anvendte tjenester som Cloudflare til at maskere serverplaceringer, hvilket gjorde sporing vanskelig.

Efter en tip fra en sikkerhedsansvarlig på et af de ramte universiteter begyndte Infoblox at analysere DNS-mønstre. Resultatet: næsten 70 forskellige domæner blev brugt i angrebene. Det første registrerede angreb fandt sted den 12. april 2025 mod University of San Diego. De mest angrebne institutioner var:

University of California, Santa Cruz
University of California, Santa Barbara
University of San Diego
Virginia Commonwealth University
University of Michigan

Attraktive mål

Ifølge Renée Burton, som er vicepresident for Infoblox Threat Intel, er universiteter fortsat et attraktivt mål for cyberkriminelle. Hun fremhæver et eksempel, hvor et angreb mod University of Washington resulterede i tabet af en digital katalog over plante- og dyrearter – en uerstattelig videnskabelig ressource.
Disse hændelser understreger, hvor hurtigt trusselsaktører tilpasser sig og udnytter værktøjer som Evilginx til at omgå selv avancerede sikkerhedsforanstaltninger.
MFA er ikke en garanti: Session-hijacking via AiTM-angreb gør det muligt at omgå MFA.
Domæneovervågning er kritisk: Angribere bruger dynamiske og kortlivede domæner til at undgå opdagelse.
Brugeruddannelse og hurtig rapportering: Studerende og ansatte skal være opmærksomme på phishingteknikker og rapportere mistænkelig aktivitet med det samme.

Læs mere

https://hackread.com/us-universities-domains-phishing-attacks/

Trusselsvurdering