Olcsó domainek, profi trükkök
A hamis weboldalakat olcsó, eldobható domaineken (.icu, .xyz, .cfd stb.) hosztolják, melyek Cloudflare védelemmel rejtik el a valódi IP-címet. A látogatók először Cloudflare CAPTCHA-t kapnak, ezzel is növelve a hamis bizalmat. A VoidProxy kiválasztja a célpontokat: akinek fontos a hozzáférése, annak szinte megszólalásig hasonló Microsoft vagy Google bejelentkezési oldal jelenik meg, míg másokat ártalmatlan üdvözlőoldalra irányítanak.
Azonnal átengedett adatlopás
A kitöltött adatok először a VoidProxy szerverén, majd valós időben a célszolgáltatónál is megjelennek. Okta SSO használata esetén a támadók egy második, Okta-ra hasonlító oldalra terelik az áldozatot, és proxy-n keresztül továbbítják az adatokat az Okta szervereihez. Így a támadók nemcsak a jelszavakat és MFA-kódokat szerzik meg, hanem az érvényes session cookie-t is, amit az admin felületükön azonnal használhatnak. Az Okta szerint az igazán ellenálló, például Okta FastPass típusú MFA-t használók védve maradnak, és figyelmeztetést is kapnak a támadásról.
Hogyan lehet védekezni?
A szakértők azt tanácsolják, hogy az érzékeny alkalmazásokat csak kezelt eszközökről lehessen elérni, alkalmazzanak kockázatalapú hozzáférés-szabályozást, az admin alkalmazásoknál használjanak IP-alapú munkamenet-kötést, illetve követeljék meg az újrahitelesítést minden érzékeny admin művelet előtt.
