VoidProxy: Layanan Phishing Baru yang Menargetkan Akun Microsoft 365 dan Google
Peneliti keamanan menemukan platform phishing-as-a-service (PhaaS) baru bernama VoidProxy yang menargetkan akun Microsoft 365 dan Google, termasuk akun yang dilindungi oleh penyedia single sign-on (SSO) pihak ketiga seperti Okta.
Menurut laporan tim Okta Threat Intelligence, VoidProxy digambarkan sebagai layanan serangan yang skalabel, canggih, dan sulit terdeteksi.
Taktik Serangan
VoidProxy menggunakan teknik adversary-in-the-middle (AitM) untuk mencuri kredensial, kode autentikasi multi-faktor (MFA), hingga session cookies secara real time.
Serangan biasanya diawali dengan email dari akun yang sudah dikompromikan di layanan seperti Constant Contact, Active Campaign, dan NotifyVisitors. Email berisi tautan pendek yang mengarahkan korban ke situs phishing melalui beberapa tahap pengalihan.
Situs berbahaya ini di-host pada domain murah dan sekali pakai seperti .icu, .sbs, .cfd, .xyz, .top, dan .home, yang dilindungi Cloudflare untuk menyembunyikan alamat IP asli.
Lapisan Ilusi Keamanan
Pengunjung pertama-tama disuguhi tantangan Cloudflare CAPTCHA guna menyaring bot dan meningkatkan kesan legitimasi. Lalu, Cloudflare Worker dipakai untuk memfilter lalu lintas serta memuat halaman phishing.
Target tertentu diarahkan ke halaman login palsu Microsoft atau Google, sementara pengunjung lain hanya melihat laman sambutan generik.
Jika korban memasukkan kredensial, permintaan tersebut diteruskan melalui server VoidProxy ke server sah milik Google atau Microsoft.
Akun Federasi Jadi Sasaran
Akun yang menggunakan Okta untuk SSO diarahkan ke tahap kedua dengan halaman phishing yang meniru alur login Microsoft 365 atau Google melalui Okta. Server VoidProxy kemudian bertindak sebagai perantara, meneruskan permintaan ke server Okta sekaligus mencuri informasi login.
Ketika layanan sah mengeluarkan session cookie, VoidProxy langsung menyalinnya dan menampilkannya di panel admin milik penyerang, memungkinkan akses penuh tanpa perlu login ulang.
Upaya Pertahanan
Okta mencatat bahwa pengguna yang sudah mengaktifkan metode autentikasi tahan phishing, seperti Okta FastPass, tetap terlindungi dan mendapat peringatan ketika akun mereka diserang.
Rekomendasi peneliti untuk mengurangi risiko antara lain:
- Membatasi akses aplikasi sensitif hanya dari perangkat terkelola.
- Menerapkan kontrol akses berbasis risiko.
- Menggunakan IP session binding untuk aplikasi administratif.
- Memaksa autentikasi ulang bagi admin saat melakukan tindakan sensitif.
VoidProxy membuktikan bahwa layanan phishing kini semakin matang dengan infrastruktur terorganisir, sehingga perusahaan perlu meningkatkan lapisan keamanan agar tidak menjadi korban serangan serupa.
Sumber: Okta
