Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa fala kampanii phishingowych przypisywanych chińskojęzycznym operatorom pokazuje wyraźne odejście od klasycznych, statycznych stron wyłudzających dane logowania. Coraz częściej stosowany jest model przechwytywania poświadczeń w czasie rzeczywistym, oparty na technice adversary-in-the-middle (AiTM), w którym atakujący pośredniczy w całym procesie uwierzytelniania.
W praktyce oznacza to, że ofiara może widzieć interfejs bardzo podobny do legalnej strony logowania, ale cała komunikacja przechodzi przez infrastrukturę kontrolowaną przez przestępców. Dzięki temu napastnicy są w stanie zebrać nie tylko login i hasło, lecz także kody MFA oraz tokeny sesyjne.
W skrócie
- Operatorzy phishingowi odchodzą od prostych stron podszywających się pod portale logowania.
- Coraz częściej wykorzystywany jest model AiTM umożliwiający przechwytywanie poświadczeń i sesji w czasie rzeczywistym.
- Takie kampanie mogą skutecznie omijać tradycyjne mechanizmy MFA oparte na kodach SMS, OTP i powiadomieniach push.
- Napastnicy stosują przekierowania, mechanizmy antybotowe i ukrywanie infrastruktury, aby utrudnić wykrycie operacji.
Kontekst / historia
Phishing AiTM nie jest zjawiskiem nowym, jednak w ostatnich latach wyraźnie przeszedł z kategorii bardziej zaawansowanych operacji do modelu szerzej dostępnego na rynku cyberprzestępczym. Rozwój phishing-as-a-service sprawił, że gotowe zestawy narzędzi do przechwytywania sesji i poświadczeń stały się łatwiejsze do wdrożenia także dla mniej wyspecjalizowanych grup.
Obecne kampanie przypisywane chińskojęzycznym operatorom wpisują się w ten trend, ale jednocześnie pokazują rosnącą dojrzałość operacyjną. Zmianie ulega nie tylko sama technika wyłudzania danych, ale również sposób dostarczania przynęt, maskowania zaplecza i utrudniania analizy prowadzonej przez zespoły bezpieczeństwa.
Analiza techniczna
W schemacie adversary-in-the-middle serwer atakującego działa jak reverse proxy pomiędzy użytkownikiem a prawdziwą usługą logowania. Ofiara wpisuje dane na stronie przynęty, które są natychmiast przekazywane do legalnego dostawcy tożsamości. Odpowiedzi serwera wracają tą samą drogą, dzięki czemu cały proces wygląda wiarygodnie.
Typowy łańcuch ataku rozpoczyna się od wiadomości zawierającej link do przynęty. Użytkownik może zostać przeprowadzony przez kilka etapów przekierowań, które mają utrudnić analizę automatyczną i obejść zabezpieczenia filtrujące. Następnie trafia na stronę pośredniczącą, która wizualnie odtwarza legalny portal logowania.
Po wpisaniu loginu i hasła dane są przekazywane dalej do rzeczywistej usługi uwierzytelniania. Jeżeli konto jest chronione MFA, ofiara wykonuje standardowy krok weryfikacyjny, nie mając świadomości, że kod lub potwierdzenie również przechodzi przez infrastrukturę atakującego. Najbardziej krytyczny moment następuje po poprawnym zalogowaniu, gdy legalna usługa wystawia token lub cookie sesyjne, które może zostać przechwycone i wykorzystane do przejęcia aktywnej sesji.
Nowoczesne platformy phishingowe wykorzystują ponadto dodatkowe warstwy utrudniające wykrycie. Wśród nich znajdują się:
- mechanizmy CAPTCHA i filtry antybotowe,
- selekcja ruchu na podstawie adresu IP, geolokalizacji i cech przeglądarki,
- wieloetapowe przekierowania i usługi pośredniczące,
- krótkotrwałe domeny oraz infrastruktura efemeryczna,
- dynamiczne ładowanie paneli phishingowych dopiero po przejściu kontroli.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takich kampanii jest możliwość obejścia powszechnie stosowanych metod MFA, szczególnie tych, które można zrelayować w czasie rzeczywistym. Oznacza to, że nawet organizacje korzystające z dodatkowego składnika uwierzytelniania mogą pozostać podatne na przejęcie konta.
Ryzyko nie kończy się na samym logowaniu. Po uzyskaniu dostępu do aktywnej sesji napastnik może przejąć skrzynkę pocztową, konto w usłudze chmurowej, system SSO lub panel administracyjny. W dalszej kolejności możliwe są ataki typu business email compromise, kradzież danych, resetowanie haseł w innych systemach, eskalacja uprawnień i ruch boczny w organizacji.
Dodatkowym problemem jest trudniejsza detekcja incydentu. Ponieważ logowanie odbywa się wobec prawdziwej usługi, część sygnałów może wyglądać jak legalna aktywność użytkownika. Bez korelacji telemetrycznej z warstwy tożsamości, urządzenia, lokalizacji i zachowania sesji przejęcie tokenu może przez pewien czas pozostać niezauważone.
Rekomendacje
Organizacje powinny traktować phishing AiTM jako zagrożenie wymierzone przede wszystkim w warstwę tożsamości i sesji, a nie wyłącznie w pocztę elektroniczną. Obrona musi obejmować zarówno etap dostarczenia przynęty, jak i kontrolę procesu logowania oraz aktywności po uwierzytelnieniu.
Kluczowe znaczenie ma wdrażanie metod uwierzytelniania odpornych na phishing, takich jak FIDO2, WebAuthn, passkeys czy klucze sprzętowe. Rozwiązania bazujące wyłącznie na SMS lub kodach OTP nie powinny być uznawane za wystarczające zabezpieczenie dla kont uprzywilejowanych i krytycznych zasobów.
Warto również rozwijać polityki dostępu warunkowego oraz monitoring sesji. Dobre praktyki obejmują:
- ograniczanie dostępu do wrażliwych aplikacji wyłącznie z urządzeń zarządzanych,
- wymuszanie dodatkowej weryfikacji przy nowych lokalizacjach, sieciach i urządzeniach,
- monitorowanie nietypowych adresów IP, ASN, User-Agentów i anomalii geograficznych,
- unieważnianie tokenów sesyjnych po podejrzanych zdarzeniach,
- wymuszanie ponownego uwierzytelnienia dla operacji uprzywilejowanych.
Istotna pozostaje także edukacja użytkowników. Szkolenia powinny obejmować scenariusze z wykorzystaniem komunikatorów, kodów QR, stron pośredniczących i przekierowań, a nie tylko klasyczne wiadomości e-mail. Organizacja powinna mieć też jasne procedury zgłaszania incydentów oraz szybkiej reakcji po wykryciu potencjalnego przejęcia sesji.
Podsumowanie
Obserwowane kampanie pokazują istotną zmianę jakościową w działaniach phishingowych. Zamiast prostego wyłudzania haseł operatorzy coraz częściej przechwytują cały proces logowania w czasie rzeczywistym, co znacząco zwiększa skuteczność ataków i osłabia ochronę opartą na tradycyjnym MFA.
Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia nacisku z ochrony wyłącznie poczty na kompleksowe zabezpieczenie tożsamości, urządzeń i sesji. W praktyce to dojrzałość procesów IAM, wdrożenie phishing-resistant MFA oraz szybka analiza anomalii po zalogowaniu będą decydować o odporności organizacji na nowoczesne kampanie AiTM.
Źródła
- https://www.infosecurity-magazine.com/news/chinese-phishing-live-credential/
- https://www.cyber.gc.ca/sites/default/files/itsm.30.031-e.pdf
- https://blog.sekoia.io/wp-content/uploads/2025/06/Sekoia_io___Global_analysis_of_Adversary_in_the_Middle_phishing_threats.pdf
- https://sec.okta.com/articles/uncloakingvoidproxy/
- https://www.csoonline.com/article/4056512/voidproxy-phishing-as-a-service-operation-steals-microsoft-google-login-credentials.html