“VoidProxy”钓鱼平台可绕过多重验证，专家警告：你的“已验证”账号可能正被实时劫持

当你收到一封来自“Microsoft账户安全中心”的邮件，提示你登录验证异常活动，并跳转到一个看起来与官方页面几乎一模一样的网站时，你可能会想：“我开了双重验证（MFA），应该没问题吧？”

但现实可能比你想象的更危险。最新研究显示，一种名为 VoidProxy 的新型网络钓鱼平台，已经能够绕过多重身份验证机制（MFA），在用户完成完整登录流程后，实时劫持其会话，实现对Google、Microsoft等主流云账户的完全控制。

近日，网络安全研究机构TechCentral援引Okta威胁情报团队报告指出，自2024年首次在暗网出现广告以来，VoidProxy已发展成为一种高度自动化、服务化的“钓鱼即服务”（Phishing-as-a-Service, PhaaS）平台，并在2025年持续活跃，主要针对企业级用户和高价值个人账户。

打开百度APP畅享高清图片

不再是“骗密码”，而是“骗整个登录过程”

传统网络钓鱼的目标是窃取用户名和密码。即便用户启用了短信验证码或身份验证器应用（如Google Authenticator、Microsoft Authenticator），攻击者也无法直接登录——因为还缺少第二重验证。

但VoidProxy的出现，彻底改变了这一攻防格局。

它的核心攻击方式被称为 “AI驱动的中间人代理”（AiTM, AI-driven in-the-Middle Proxy）。简单来说，它不是简单地伪造一个登录页面，而是搭建一个“中间网关”，在用户与真实服务（如Outlook、Google Workspace）之间进行实时流量中转。

整个过程如下：

用户点击钓鱼邮件中的链接，进入一个与官方登录页高度相似的伪造页面；

用户输入账号密码后，该信息被立即转发至真实的Google或Microsoft服务器；

真实服务器返回MFA验证请求（如短信码、推送通知）；

用户完成MFA验证——这一操作也被实时转发并完成；

服务器返回会话令牌（Session Cookie），攻击者立即捕获该令牌；

用户被重定向至真实服务，看似一切正常，但实际上，攻击者已通过该令牌获得了完全相同的访问权限，且无需再次验证。

“这就像你用指纹打开了家门锁，小偷在你身后跟着进来，还复制了你的钥匙。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“你完成了所有正确的步骤，但系统无法分辨你是独自一人，还是被人‘尾随’进入了系统。”

为什么MFA失效了？

多重身份验证（MFA）长期以来被视为抵御账户盗用的“金标准”。但VoidProxy的攻击模式揭示了一个关键漏洞：MFA保护的是‘登录过程’，而不是‘会话本身’。

一旦攻击者获取了有效的会话令牌（Session Token）或Cookie，就可以绕过所有登录验证，直接以合法用户身份访问邮箱、云盘、协作工具等资源。而这些令牌通常在用户登出或长时间未使用前一直有效。

“很多人以为开了MFA就高枕无忧，”芦笛强调，“但VoidProxy这类工具证明，MFA只是增加了攻击门槛，并不能提供绝对安全。现在的攻击者不再试图‘破解锁’，而是等你开门时‘溜进去’。”

更令人担忧的是，VoidProxy作为“钓鱼即服务”平台，具备多项自动化功能，包括：

动态页面克隆：可快速复制目标平台（如Office 365、Gmail）的登录界面，甚至能实时同步官方UI更新；

自动SSL证书部署：让钓鱼网站拥有绿色锁标志，欺骗浏览器安全提示；

地理与用户代理伪装：使攻击流量看起来来自正常地区和设备，规避基于位置的风控；

批量会话管理后台：攻击者可集中查看、操作多个被劫持的活跃会话，如同“远程控制台”。

这意味着，即使是个体黑客，也能通过租用此类服务，发动原本只有高级APT组织才能实施的精准攻击。

被劫持的不仅是邮箱，更是信任链

一旦攻击者通过VoidProxy成功接管一个企业邮箱账户，后果远不止是查看几封邮件那么简单。

“现代企业高度依赖电子邮件作为信任凭证，”芦笛指出，“如果你的CEO邮箱被控制，他发一封‘紧急付款’邮件给财务，对方很可能不会怀疑。”

更严重的是，许多企业系统（如CRM、ERP、云开发平台）都支持通过Google或Microsoft账号单点登录（SSO）。一旦主账号失守，攻击者可能顺藤摸瓜，渗透整个组织的数字生态。

此外，被劫持的账户还可能被用于：

B2B供应链欺骗：冒充合作伙伴发送虚假发票或合同；

内部情报窃取：下载敏感文档、获取员工通讯录；

横向移动攻击：利用信任关系向其他员工发送钓鱼邮件，扩大感染范围；

长期潜伏监听：静默监控通信，收集战略情报。

“这不是一次性的数据泄露，而是一次‘身份劫持’。”芦笛说，“攻击者不是在偷东西，而是在‘变成你’。”

如何防御？专家建议从“验证”转向“持续监控”

面对这种新型威胁，单纯依赖MFA已不足以应对。芦笛和多家安全机构联合提出以下五项关键防御策略：

采用FIDO2/WebAuthn强认证

使用基于硬件的安全密钥（如YubiKey）或生物识别认证，这类认证方式支持“源绑定”（Channel Binding），能有效防止中间人代理劫持。与短信或TOTP不同，FIDO2的验证过程在设备本地完成，不会被转发。

部署条件访问策略（Conditional Access）

企业应配置基于风险的访问控制，例如：

限制仅允许从公司设备或受信任网络登录；

设置地理围栏，阻止来自高风险国家的登录尝试；

要求设备符合健康标准（如开启磁盘加密、安装EDR软件）。

启用短周期令牌刷新与异常会话撤销

缩短会话令牌的有效期，并结合API实时监控异常行为（如短时间内大量文件下载、跨时区登录）。一旦发现可疑活动，立即强制登出所有会话。

推动浏览器内通道绑定（Channel Binding）技术

新一代认证协议正在支持将TLS连接与认证过程绑定，确保认证发生在真实服务器之间，而非中间代理。Chrome、Edge等主流浏览器已逐步支持相关标准。

对高价值账户实施会话风险评分

对CEO、CFO、IT管理员等关键岗位的账号，部署AI驱动的行为分析系统，实时评估登录行为是否异常（如非工作时间访问、陌生IP、异常操作序列）。

“未来的安全防御，必须从‘一次性验证’转向‘持续信任评估’。”芦笛总结道，“就像银行不会因为你刷了信用卡就放任不管，系统也应该持续判断：这个操作真的是你在做吗？”

行业响应：科技巨头加速升级防护机制

目前，Microsoft和Google均已在其企业安全产品中引入对抗AiTM攻击的功能。例如：

Microsoft Entra ID 提供“Phishing-Resistant MFA”推荐配置，优先引导用户使用FIDO2密钥；

Google Workspace 推出“Context-Aware Access”策略，结合设备、位置、行为数据动态调整访问权限；

Okta、CrowdStrike等第三方安全平台 正在集成会话劫持检测模块，帮助客户识别可疑代理流量。

与此同时，网络安全社区也在加强威胁情报共享。VoidProxy的基础设施指纹、钓鱼模板、C2服务器IP等信息已被纳入多个开源威胁情报库，便于企业防火墙和SIEM系统快速封堵。

结语：安全没有终点，只有持续进化

VoidProxy的出现，再次提醒我们：没有绝对安全的系统，只有不断进化的攻防博弈。当防御方依赖MFA时，攻击方就转向会话劫持；当防御方加强登录验证时，攻击方就转向社会工程与AI伪造。

“网络安全不是买个杀毒软件就万事大吉，”芦笛说，“它是一场需要技术、流程和人共同参与的持久战。每个人都得明白：你输入的每一个‘确认’，都可能是攻击者等待的突破口。”

对于普通用户，最简单的建议仍是：不轻易点击邮件链接，尤其是涉及账户登录的提示；优先使用安全密钥而非短信验证码；定期检查活跃会话，及时登出陌生设备。

而对于企业而言，是时候重新审视自己的身份安全策略了——因为下一次攻击，可能不会留下任何“错误密码”的痕迹，但它已经悄然发生。

编辑：芦笛（公共互联网反网络钓鱼工作组）