Специалисты Okta Threat Intelligence сообщили о масштабной кампании с использованием сервиса VoidProxy, работающего по модели phishing-as-a-service.
Этот инструмент позволяет преступникам в реальном времени перехватывать пароли, коды многофакторной аутентификации и даже сеансовые cookie у пользователей Google и Microsoft.
VoidProxy использует схему Attacker-in-the-Middle: жертва видит привычную страницу входа, вводит логин, пароль и MFA, а прокси-сервер незаметно копирует эти данные, сохраняя cookie для последующего входа без подтверждений. Такая техника делает бесполезными даже сложные пароли и включённую двухфакторку — преступники входят в аккаунты до завершения сессии.
Атаки стартуют с писем, разосланных через легитимные e-mail-сервисы. Ссылки ведут на фишинговые сайты с доменами в дешёвых зонах (.icu, .xyz, .sbs и др.), скрытыми за Cloudflare. Там пользователей встречает форма входа, неотличимая от настоящей.
Панель VoidProxy позволяет злоумышленникам управлять кампаниями, отслеживать украденные данные и статистику по жертвам.
Okta рекомендует срочно переходить на устойчивые к фишингу методы аутентификации — ключи FIDO2/WebAuthn или Okta FastPass, а также ужесточать политики доступа и фильтровать подозрительные домены. Эксперты подчеркивают: атаки VoidProxy уже идут в активной фазе и ежедневно эволюционируют, поэтому стратегия «один раз настроили и забыли» здесь не работает.
Этот инструмент позволяет преступникам в реальном времени перехватывать пароли, коды многофакторной аутентификации и даже сеансовые cookie у пользователей Google и Microsoft.
VoidProxy использует схему Attacker-in-the-Middle: жертва видит привычную страницу входа, вводит логин, пароль и MFA, а прокси-сервер незаметно копирует эти данные, сохраняя cookie для последующего входа без подтверждений. Такая техника делает бесполезными даже сложные пароли и включённую двухфакторку — преступники входят в аккаунты до завершения сессии.
Атаки стартуют с писем, разосланных через легитимные e-mail-сервисы. Ссылки ведут на фишинговые сайты с доменами в дешёвых зонах (.icu, .xyz, .sbs и др.), скрытыми за Cloudflare. Там пользователей встречает форма входа, неотличимая от настоящей.
Панель VoidProxy позволяет злоумышленникам управлять кампаниями, отслеживать украденные данные и статистику по жертвам.
Okta рекомендует срочно переходить на устойчивые к фишингу методы аутентификации — ключи FIDO2/WebAuthn или Okta FastPass, а также ужесточать политики доступа и фильтровать подозрительные домены. Эксперты подчеркивают: атаки VoidProxy уже идут в активной фазе и ежедневно эволюционируют, поэтому стратегия «один раз настроили и забыли» здесь не работает.
