Când discutăm despre securitate cibernetică, trecutul ne arată că atacatorii își ajustează rapid metodele pentru a ocoli contramăsurile, de la parole simple la autentificare în doi pași. Acum apare o amenințare nouă, numită VoidProxy, o platformă de phishing-as-a-service care vizează conturi Microsoft 365 și Google, inclusiv cele care folosesc SSO administrat de terți precum Okta. Descoperirea provine de la cercetătorii Okta Threat Intelligence, care descriu platforma ca fiind scalabilă, evazivă și destul de avansată.
Atacul pornește din inbox: mesaje trimise de pe conturi compromise ale serviciilor de email marketing, precum Constant Contact, Active Campaign sau NotifyVisitors, conțin linkuri scurtate. Aceste linkuri trec prin mai multe redirecționări până la site-uri de phishing găzduite pe domenii ieftine și de unică folosință, extensii precum .icu, .sbs, .cfd, .xyz, .top sau .home, toate protejate frontal de Cloudflare pentru a le ascunde locația reală. Primul filtru pentru vizitatori este un CAPTCHA Cloudflare: util pentru a opri roboții, dar și pentru a da paginii un aer legitim. De asemenea, Cloudflare este folosit și ca mediu Worker pentru filtrarea traficului și încărcarea paginilor corespunzătoare.
Doar anumite ținte văd o pagină care imită autentificările reale Microsoft sau Google; restul traficului ajunge la o pagină generică de tip Welcome, care nu stârnește suspiciuni. Când victima introduce credențialele, VoidProxy acționează ca un adversary-in-the-middle: proxiează cererile către serverele legitime Microsoft sau Google, capturând în timp real nume de utilizator, parole, coduri MFA și chiar cookie-urile de sesiune. Pentru conturile federate prin Okta, atacul include o a doua etapă de phishing ce reproduce fluxul SSO, iar cererile sunt proxiate chiar către serverele Okta.
Ceea ce-i încântă pe atacatori este că, odată ce serviciul legitim emite un cookie de sesiune, VoidProxy îl interceptează și pune o copie în panoul de administrare al platformei, permițând preluarea sesiunii fără necesitatea codurilor MFA. Okta a remarcat însă un aspect esențial: utilizatorii care activaseră metode rezistente la phishing, precum Okta FastPass, au fost protejați și au primit avertismente despre tentativele asupra conturilor lor. Concluzia tehnică: unele măsuri avansate chiar funcționează.
Cercetătorii Okta recomandă pași practici pentru administratori: restricționarea accesului la aplicațiile sensibile doar de pe dispozitive gestionate, aplicarea controalelor de acces bazate pe risc, utilizarea IP session binding pentru aplicații administrative și solicitarea reautentificării pentru acțiuni sensibile. Pe scurt, mai mult control și mai puțină încredere implicită în orice sesiune care pare normală.
Detaliile tehnice arată că această abordare combină o inginerie socială bine pusă la punct cu o infrastructură simplă, ieftină și anonimă, exploatând servicii populare de protecție web pentru a-și camufla urmele. În plus, atacatorii practică split-targeting: afișează pagini false doar unor vizitatori selectați pentru a evita semnale inutile care ar putea atrage atenția cercetătorilor. În esență, e vorba de eficiență infracțională, nu arunci o plasă mare când vrei doar o captură mică.
Okta FastPass și alte metode rezistente la phishing indică direcția corectă: autentificare dificil de interceptat și alerte automate când ceva nu e în regulă. În același timp, companiile trebuie să-și reevalueze constant politicile de acces și să trateze linkurile din emailuri cu prudență, mai ales când provin din campanii de marketing, oricât de convingătoare ar părea.
VoidProxy ne reamintește că infrastructura defensivă poate servi ambelor tabere: Cloudflare ajută la protecție, dar poate și masca activități malițioase când este folosit de actorii rău intenționați. În același timp, servicii aparent inofensive, precum platformele de email marketing, pot deveni vectori de atac dacă sunt compromise. Numele platformei, lista de domenii folosite, canalul de descoperire (Okta Threat Intelligence) și numele soluției care oferă protecție (Okta FastPass) sunt elemente concrete pe care echipele de securitate ar trebui să le rețină.
Există două lecții practice: organizațiile trebuie să combine autentificarea rezistentă la phishing cu politici stricte de acces și monitorizare continuă, iar utilizatorii trebuie instruiți să verifice linkurile chiar și din emailuri aparent legitime. Creșterea complexității atacurilor impune o schimbare de paradigmă: parola și codul SMS nu mai sunt suficiente. Ai actualizat controalele pentru administratori sau încă te bazezi pe cookie-uri prin obișnuință?
Ești implicat în administrarea securității sau folosești soluții precum Okta FastPass în organizația ta?
Fii primul care comentează