Door Anoniem: Het is via een phishing-link onderschept. Wat daar onderschept kan worden is niet een hardware- of software-token maar een response die door/met dat token gegenereerd is. Dit is wat ik ervan begrijp (please correct me if I'm wrong). Een "evil proxy" kan de door de inlogger ingevoerde gegevens "onderscheppen" in de zin van kopiëren en doorsturen (plan B), maar dat hoeft niet: ongezien doorsturen kan ook (plan A). Plan A: account tijdelijk misbruiken (totdat het slachtoffer in elk geval uit deze sessie wordt uitgelogd). De AitM (Attacker in the Middle) stuurt alle inloggegevens, nl. user-ID (meestal een e-mailadres), het wachtwoord en een MFA code, door naar de echte server (zonder hier zelf in geïnteresseerd te zijn). Als de inloggegevens correct zijn, retourneert de server een token zoals een session-cookie of een JWT. De AitM kopieert dat token voor eigen gebruik en kiest ervoor om dat token juist wél of juist niet tevens door te sturen naar het slachtoffer. Plan B: Account overnemen ...