Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime.

Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️

Le cœur de l’efficacité repose sur des scripts côté client et un panneau C2 qui permettent à l’attaquant de contrôler en temps réel les pages affichées dans le navigateur de la cible, en parfaite synchronisation avec la conversation téléphonique. Les acteurs peuvent ainsi rendre plausibles des demandes d’acceptation de push MFA, y compris avec number matching, qui n’est pas phishing-resistant. En revanche, des méthodes phishing-resistant telles que Okta FastPass ou les passkeys FIDO sont présentées comme protectrices. 🔐

Chaîne d’attaque typique:

  • Reconnaissance (utilisateurs, apps, numéros d’assistance légitimes);
  • Mise en ligne d’une page de phishing personnalisée et usurpation du numéro de l’entreprise;
  • Redirection de la victime vers le site piégé sous prétexte d’assistance IT/sécurité;
  • Collecte d’identifiants et envoi automatique vers un canal Telegram de l’attaquant;
  • Connexion de l’attaquant au service légitime et adaptation en temps réel du site piégé pour aligner la demande MFA (OTP, push, etc.).

Tendances observées: la demande explose pour le vishing, avec des fonctionnalités d’orchestration de session en temps réel reprises par de nouveaux kits et la vente d’expertise de callers en « as-a-service ». Des panneaux sur mesure par service ciblé émergent, au-delà des kits généralistes pour IdP et plateformes crypto.

Mesures mises en avant: imposer des méthodes d’authentification résistantes au phishing (Okta FastPass, passkeys) et restreindre l’accès via zones réseau/ACL pour bloquer les services d’anonymisation, en autorisant uniquement les réseaux légitimes. Certaines banques/plateformes crypto testent des vérifications d’appelant en direct via application mobile. Okta mentionne des avis de menace publiés en avril 2025 et janvier 2026 pour ses clients. Cet article est une analyse de menace synthétisant les capacités de ces kits et les tendances associées.

TTPs observées:

  • Vishing avec orchestration de session en temps réel via scripts client et panneau C2;
  • Phishing as-a-service avec panneaux thématiques (Microsoft, etc.);
  • Exfiltration d’identifiants vers Telegram;
  • Usurpation de numéro (spoofing) d’assistance IT;
  • Bypass MFA (push, OTP, number matching) non résistante au phishing.

🧠 TTPs et IOCs détectés

TTP

[‘Vishing avec orchestration de session en temps réel via scripts client et panneau C2’, ‘Phishing as-a-service avec panneaux thématiques (Microsoft, etc.)’, ‘Exfiltration d’identifiants vers Telegram’, ‘Usurpation de numéro (spoofing) d’assistance IT’, ‘Bypass MFA (push, OTP, number matching) non résistante au phishing’]

IOC

Non spécifiés dans l’analyse fournie

🔗 Source originale : https://www.okta.com/blog/threat-intelligence/phishing-kits-adapt-to-the-script-of-callers/