根據安全公司 Infoblox 的一份新報告顯示，至少有 18 所美國大學在長達數月的時間內遭受了有組織的網路釣魚攻擊。此次攻擊活動從2025年4月持續到11月，旨在竊取學生和教職員工的帳戶詳細訊息，即使啟用了多因素身份驗證(MFA)也無法阻止攻擊。

這次攻擊利用名為 Evilginx 的危險開源釣魚工具包繞過了 MFA ，Evilginx 扮演數位中間人的角色，採用中間人攻擊（AiTM）策略。當學生點擊個人化電子郵件中的釣魚連結時，Evilginx 會悄悄地介入受害者和大學的實際登入頁面之間。它模擬真實的登入過程，竊取使用者名稱/密碼以及在完成多因素身份驗證（MFA）後用於授予存取權限的會話 cookie，竊取此 cookie 可使攻擊者完全控制帳戶。

攻擊策略的精妙之處在於，多因素身份驗證通常要求使用者輸入手機上的代碼或批准通知，作為輸入密碼後的額外安全步驟。然而，AiTM 攻擊透過實時攔截整個登入會話，包括使用者成功通過 MFA 後伺服器發送的有效會話 Cookie，從而成功繞過了這層保護。 Infoblox 的研究人員指出，攻擊者在電子郵件中使用的連結是簡短且具時效性的 TinyURLs，看起來像是來自學校的單一登入（SSO）入口網站，進一步提高了欺騙性。 Infoblox 的報告還披露，攻擊活動的運營商採取了多種措施來掩蓋其踪跡，例如頻繁更換攻擊鏈接，以及使用 Cloudflare 等服務來隱藏伺服器位置。然而，Infoblox 透過分析DNS模式（即網域被請求和解析的數位記錄），最終將這些線索聯繫起來。在長達數月的活動中，Infoblox 的威脅情報團隊追蹤到駭客使用了近 70 個不同的惡意網域進行攻擊。

根據 Infoblox 的數據，受攻擊量影響最大的五所學校包括加州大學聖塔克魯茲分校 (UC Santa Cruz)、加州大學聖塔芭芭拉分校 (UC Santa Barbara)、聖地牙哥大學 (University of San Diego)、維吉尼亞聯邦大學 (Virginia Commonwealth University) 以及密西根大學 (University of Michigan)。 Infoblox 威脅情報副總裁 Renée Burton 強調了這些攻擊所帶來的嚴重危害，並指出大學仍然是惡意行為者常見的目標。她提到了一個特別令人擔憂的案例，指出對華盛頓大學的一次攻擊「最終破壞了該博物館部分植物和動物標本的數位目錄，這是一份無價的記錄。」

這些成功的攻擊表明，網路犯罪分子使用 Evilginx 等工具繞過多因素身份驗證的速度有多快，因此，校園教職員和學生提高安全意識和及時報告比以往任何時候都更加重要，以保護他們的資料。建議大學機構應加強對 SSO 系統的監控，並教育使用者警惕任何要求重新登入或驗證的外部連結，特別是那些涉及會話 Cookie 竊取的進階網路釣魚技術。