Phishingové útoky už dávno nejsou jen neobratné e-maily s chybami v pravopisu. Nová služba VoidProxy, kterou bezpečnostní výzkumníci z Okta nedávno odhalili, ukazuje, jak sofistikovaně se kyberzločin vyvíjí. Jde o tzv. phishing-as-a-service (PhaaS) platformu – hotový balíček, který si může pořídit i méně zkušený útočník.

VoidProxy nabízí kompletní sadu nástrojů: šablony falešných webů připomínajících přihlašovací portály Microsoft 365 a Google, rozhraní pro sběr dat, nástroje pro podvržené e-maily a SMS zprávy i možnost automatizace. Některé balíčky obsahují dokonce návody a „zákaznickou podporu“. Pro kyberzločince, kteří nemají hlubší technické znalosti, je to doslova plug-and-play řešení.

Jak útok funguje

Kampaň obvykle začíná zneužitím legitimní, ale kompromitované e-mailové adresy. To výrazně zvyšuje šanci, že podvodná zpráva projde přes bezpečnostní filtry a dostane se přímo do schránky oběti. Uživatel je poté přesměrován na falešné přihlašovací stránky, které jsou hostované na levných a jednorázových doménách, jako je .icu, .xyz nebo .top.

Zdroj: Shutterstock

Na první pohled jde o běžnou přihlašovací obrazovku. Pokud nic netušící oběť zadá své údaje, útočníci je okamžitě získají. Ještě znepokojivější je schopnost VoidProxy obejít i dvoufaktorovou autentizaci (MFA). Pokud je účet chráněný například pomocí Okta SSO, uživatel je přesměrován na speciální stránku, kde je veškerá komunikace mezi ním a legitimní službou odchytávána. Útočník tak získá nejen přihlašovací údaje, ale i session cookies, díky nimž může do účtu vstoupit bez zadávání kódů.

GenAI jako posila útoků

Další zásadní proměna přichází s využitím generativní umělé inteligence. Zatímco dříve byly phishingové zprávy plné chyb a působily nedůvěryhodně, dnes mohou být texty plynulé, gramaticky správné a přesvědčivé. To snižuje šanci, že oběť útok rozpozná.

Proč je to nebezpečné

Účty Microsoft 365 a Google dnes slouží nejen k e-mailům, ale často i jako přístupová brána k firemním dokumentům, kalendářům nebo nástrojům pro spolupráci. Únik těchto údajů proto může znamenat vážný problém nejen pro jednotlivce, ale i pro celé organizace.

Bezpečnostní experti doporučují věnovat pozornost neobvyklým přihlašovacím požadavkům, ověřovat adresy domén a používat pokročilejší metody ochrany, jako je hardwarový bezpečnostní klíč. Důležitá je také pravidelná edukace zaměstnanců, protože i ten nejmodernější systém ochrany může selhat, pokud uživatel klikne na podvodný odkaz.