Kyberrikollisryhmät ovat alkaneet käyttää laajasti uutta VoidProxy-phishing-palvelua ja varastavat jo reaaliajassa tunnistetietoja, monivaiheisen todennuksen koodeja ja istuntotunnuksia Microsoft- ja Google-tileiltä. Hyökkäyksistä kertoo Okta Threat Intelligence : palvelu toimii ”phishing-as-a-service” -mallin mukaan, ja sen infrastruktuuria käyttävät samanaikaisesti erilaiset rikollisjengit ja yksittäiset pahantahtoiset henkilöt.
Oktan havaintojen mukaan kohteet ovat hajallaan eri toimialoilla ja alueilla – pienistä yrityksistä suuriin yhtiöihin. Useiden organisaatioiden tilien kaappaukset on vahvistettu, ja kun otetaan huomioon, että VoidProxy välittää suoraan ei-federaatiokäyttäjiä Microsoftin ja Googlen palvelimille, pilvipalvelujen tarjoajat itse näkevät todennäköisesti vielä enemmän tietomurtoja. Kampanja on ollut aktiivinen tammikuusta lähtien, ja VoidProxyn ilmoituksia darknet-alustoilla on seurattu ainakin elokuusta 2024 lähtien. Uusia solmuja havaitaan lähes päivittäin – hyökkäykset jatkuvat.
Hakkerointiketju alkaa lähettämällä houkutusviestejä todellisista, mutta vaarantuneista sähköpostitileistä. Tähän käytetään sähköpostimarkkinointipalveluita, kuten Constant Contact, ActiveCampaign (Postmark-sovellus), NotifyVisitors ja muita. Viesti sisältää linkin lyhennyspalvelun (esim. TinyURL) kautta; sen jälkeen uhri ohjataan useiden uudelleenohjauksien kautta ensimmäiselle phishing-sivulle. Sivustot sijoitetaan halpoihin .icu-, .sbs-, .cfd-, .xyz-, .top- ja .home-verkkotunnuksiin ja piilotetaan Cloudflareen, jotta todellinen IP-osoite jää piiloon ja jäljittäminen vaikeutuu. Ennen kirjautumista käyttäjä käy läpi Cloudflare CAPTCHA -tunnistuksen, joka suodattaa botit pois ja parantaa hyökkääjien liikenteen ”laatua”.
Seuraavaksi näytetään sivu, joka on erottamaton Googlen tai Microsoftin todellisista kirjautumislomakkeista. Jos organisaatio käyttää kolmannen osapuolen SSO:ta (esimerkiksi Okta), liikenne ohjataan oikein – uhri näkee tutun todennuspolun ja syöttää käyttäjätunnuksen, salasanan ja sitten MFA-koodin. Tässä vaiheessa proxy-järjestelmä Attacker-in-the-Middle (AiTM) astuu voimaan: syötetyt tiedot eivät mene suoraan palveluntarjoajalle, vaan kulkevat VoidProxy-ytimen kautta – proxy-palvelimen, joka sijaitsee väliaikaisessa (tilapäisessä) infrastruktuurissa.
Proxy sieppaa ja välittää arkaluonteiset tiedot (käyttäjänimi, salasana, MFA-vastaukset) laillisille Microsoft-, Google- ja Okta-palveluille. Nämä vahvistavat aitouden ja antavat istuntokohtaisen evästeen. Kopio evästeestä tallennetaan hyökkääjien puolelle ja näkyy heidän hallintapaneelissaan. Kun rikollisella on voimassa oleva istuntotunnus, hän kirjautuu uhrin tilille ilman salasanaa ja ilman uutta MFA:ta – istunnon loppuun asti.
VoidProxy ei ole vain välityspalvelin, vaan myös valmis ”avaimet käteen” -alusta. Palvelun ostajat saavat hallintapaneelin, jolla voi hallita postituksia ja laskeutumissivuja, jokaisen kampanjan dashboardin, jossa on päivittäiset tilastot varastetuista salasanoista ja evästeistä, sekä kartat, joissa on merkitty alueet ja uhrien laskurit. Projekti tukee liikenteen uudelleenohjausta myös SSO-skenaarioissa, korvaa joustavasti kohdesivuja ja toimii nopeasti muuttuvassa infrastruktuurissa, mikä vaikeuttaa sen estämistä.
Pilvipalvelujen tarjoajien puolustajat reagoivat eri tavoin. Google puhuu ”kestävistä” suojauksista domainien, phishing-linkkien ja hakkeroitujen lähettäjien väärentämistä vastaan ja kehottaa erikseen siirtymään passkey-avaimiin. Microsoft ei ole antanut kommentteja. Okta puolestaan suosittelee ottamaan käyttöön phishing-kestäviä tekijöitä: Okta FastPass sekä FIDO2 WebAuthn (laitteistoavaimet ja passkeys) ja soveltamaan tiukasti politiikkaa, joka estää heikot todennusmenetelmät.
Toinen hillitsevä tekijä on yhteentoimivuusstandardit. Raportin laatijat kehottavat alaa tukemaan ja edistämään Interoperability Profile for Secure Identity in the Enterprise (IPSIE) -standardia. Tällaisten profiilien johdonmukainen noudattaminen mahdollistaa esimerkiksi käyttäjän nopean kirjautumisen ulos sekä laitteelta että kaikista selainohjelmista, jos havaitaan yhteys tunnettuun haitalliseen infrastruktuuriin.
Johtopäätös on yksinkertainen: AiTM-phishing-menetelmät muuttavat voimasuhteita – edes oikea salasana ja käytössä oleva MFA eivät pelasta, jos istuntokohtainen eväste vuotaa välityspalvelimen kautta. Nykyään toimiva vähimmäissuojaus on kertakäyttöisten koodien hylkääminen FIDO2/WebAuthn-avainten hyväksi, tiukat käytännöt, roskadomainien suodatus, uudelleenohjausketjujen estäminen ja kirjautumispoikkeamien seuranta. VoidProxy-hyökkäykset ovat käynnissä juuri nyt ja mukautuvat päivittäin, joten ”kerran asetettu” ei enää toimi.
