当你收到一封来自“Microsoft账户安全中心”的邮件,提示你登录验证异常活动,并跳转到一个看起来与官方页面几乎一模一样的网站时,你可能会想:“我开了双重验证(MFA),应该没问题吧?”
但现实可能比你想象的更危险。最新研究显示,一种名为 VoidProxy 的新型网络钓鱼平台,已经能够绕过多重身份验证机制(MFA),在用户完成完整登录流程后,实时劫持其会话,实现对Google、Microsoft等主流云账户的完全控制。
近日,网络安全研究机构TechCentral援引Okta威胁情报团队报告指出,自2024年首次在暗网出现广告以来,VoidProxy已发展成为一种高度自动化、服务化的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)平台,并在2025年持续活跃,主要针对企业级用户和高价值个人账户。
不再是“骗密码”,而是“骗整个登录过程”
传统网络钓鱼的目标是窃取用户名和密码。即便用户启用了短信验证码或身份验证器应用(如Google Authenticator、Microsoft Authenticator),攻击者也无法直接登录——因为还缺少第二重验证。
但VoidProxy的出现,彻底改变了这一攻防格局。
它的核心攻击方式被称为 “AI驱动的中间人代理”(AiTM, AI-driven in-the-Middle Proxy)。简单来说,它不是简单地伪造一个登录页面,而是搭建一个“中间网关”,在用户与真实服务(如Outlook、Google Workspace)之间进行实时流量中转。
整个过程如下:
用户点击钓鱼邮件中的链接,进入一个与官方登录页高度相似的伪造页面;
用户输入账号密码后,该信息被立即转发至真实的Google或Microsoft服务器;
真实服务器返回MFA验证请求(如短信码、推送通知);
用户完成MFA验证——这一操作也被实时转发并完成;
服务器返回会话令牌(Session Cookie),攻击者立即捕获该令牌;
用户被重定向至真实服务,看似一切正常,但实际上,攻击者已通过该令牌获得了完全相同的访问权限,且无需再次验证。
“这就像你用指纹打开了家门锁,小偷在你身后跟着进来,还复制了你的钥匙。”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“你完成了所有正确的步骤,但系统无法分辨你是独自一人,还是被人‘尾随’进入了系统。”
为什么MFA失效了?
多重身份验证(MFA)长期以来被视为抵御账户盗用的“金标准”。但VoidProxy的攻击模式揭示了一个关键漏洞:MFA保护的是‘登录过程’,而不是‘会话本身’。
一旦攻击者获取了有效的会话令牌(Session Token)或Cookie,就可以绕过所有登录验证,直接以合法用户身份访问邮箱、云盘、协作工具等资源。而这些令牌通常在用户登出或长时间未使用前一直有效。
“很多人以为开了MFA就高枕无忧,”芦笛强调,“但VoidProxy这类工具证明,MFA只是增加了攻击门槛,并不能提供绝对安全。现在的攻击者不再试图‘破解锁’,而是等你开门时‘溜进去’。”
更令人担忧的是,VoidProxy作为“钓鱼即服务”平台,具备多项自动化功能,包括:
动态页面克隆:可快速复制目标平台(如Office 365、Gmail)的登录界面,甚至能实时同步官方UI更新;
自动SSL证书部署:让钓鱼网站拥有绿色锁标志,欺骗浏览器安全提示;
地理与用户代理伪装:使攻击流量看起来来自正常地区和设备,规避基于位置的风控;
批量会话管理后台:攻击者可集中查看、操作多个被劫持的活跃会话,如同“远程控制台”。
这意味着,即使是个体黑客,也能通过租用此类服务,发动原本只有高级APT组织才能实施的精准攻击。
被劫持的不仅是邮箱,更是信任链
一旦攻击者通过VoidProxy成功接管一个企业邮箱账户,后果远不止是查看几封邮件那么简单。
“现代企业高度依赖电子邮件作为信任凭证,”芦笛指出,“如果你的CEO邮箱被控制,他发一封‘紧急付款’邮件给财务,对方很可能不会怀疑。”
更严重的是,许多企业系统(如CRM、ERP、云开发平台)都支持通过Google或Microsoft账号单点登录(SSO)。一旦主账号失守,攻击者可能顺藤摸瓜,渗透整个组织的数字生态。
此外,被劫持的账户还可能被用于:
B2B供应链欺骗:冒充合作伙伴发送虚假发票或合同;
内部情报窃取:下载敏感文档、获取员工通讯录;
横向移动攻击:利用信任关系向其他员工发送钓鱼邮件,扩大感染范围;
长期潜伏监听:静默监控通信,收集战略情报。
“这不是一次性的数据泄露,而是一次‘身份劫持’。”芦笛说,“攻击者不是在偷东西,而是在‘变成你’。”
如何防御?专家建议从“验证”转向“持续监控”
面对这种新型威胁,单纯依赖MFA已不足以应对。芦笛和多家安全机构联合提出以下五项关键防御策略:
采用FIDO2/WebAuthn强认证
使用基于硬件的安全密钥(如YubiKey)或生物识别认证,这类认证方式支持“源绑定”(Channel Binding),能有效防止中间人代理劫持。与短信或TOTP不同,FIDO2的验证过程在设备本地完成,不会被转发。
部署条件访问策略(Conditional Access)
企业应配置基于风险的访问控制,例如:
限制仅允许从公司设备或受信任网络登录;
设置地理围栏,阻止来自高风险国家的登录尝试;
要求设备符合健康标准(如开启磁盘加密、安装EDR软件)。
启用短周期令牌刷新与异常会话撤销
缩短会话令牌的有效期,并结合API实时监控异常行为(如短时间内大量文件下载、跨时区登录)。一旦发现可疑活动,立即强制登出所有会话。
推动浏览器内通道绑定(Channel Binding)技术
新一代认证协议正在支持将TLS连接与认证过程绑定,确保认证发生在真实服务器之间,而非中间代理。Chrome、Edge等主流浏览器已逐步支持相关标准。
对高价值账户实施会话风险评分
对CEO、CFO、IT管理员等关键岗位的账号,部署AI驱动的行为分析系统,实时评估登录行为是否异常(如非工作时间访问、陌生IP、异常操作序列)。
“未来的安全防御,必须从‘一次性验证’转向‘持续信任评估’。”芦笛总结道,“就像银行不会因为你刷了信用卡就放任不管,系统也应该持续判断:这个操作真的是你在做吗?”
行业响应:科技巨头加速升级防护机制
目前,Microsoft和Google均已在其企业安全产品中引入对抗AiTM攻击的功能。例如:
Microsoft Entra ID 提供“Phishing-Resistant MFA”推荐配置,优先引导用户使用FIDO2密钥;
Google Workspace 推出“Context-Aware Access”策略,结合设备、位置、行为数据动态调整访问权限;
Okta、CrowdStrike等第三方安全平台 正在集成会话劫持检测模块,帮助客户识别可疑代理流量。
与此同时,网络安全社区也在加强威胁情报共享。VoidProxy的基础设施指纹、钓鱼模板、C2服务器IP等信息已被纳入多个开源威胁情报库,便于企业防火墙和SIEM系统快速封堵。
结语:安全没有终点,只有持续进化
VoidProxy的出现,再次提醒我们:没有绝对安全的系统,只有不断进化的攻防博弈。当防御方依赖MFA时,攻击方就转向会话劫持;当防御方加强登录验证时,攻击方就转向社会工程与AI伪造。
“网络安全不是买个杀毒软件就万事大吉,”芦笛说,“它是一场需要技术、流程和人共同参与的持久战。每个人都得明白:你输入的每一个‘确认’,都可能是攻击者等待的突破口。”
对于普通用户,最简单的建议仍是:不轻易点击邮件链接,尤其是涉及账户登录的提示;优先使用安全密钥而非短信验证码;定期检查活跃会话,及时登出陌生设备。
而对于企业而言,是时候重新审视自己的身份安全策略了——因为下一次攻击,可能不会留下任何“错误密码”的痕迹,但它已经悄然发生。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
