Starkiller Phishing Service Proxies Real Login Pages—And Your MFA Codes
Security researchers just uncovered something that'll make you reconsider how much you trust MFA alone. There's an active phishing-as-a-service platform called Starkiller that's intercepting credentials and multi-factor authentication codes in real time. Not by cracking anything. Not by exploiting zero-days. By sitting in the middle of your login and forwarding everything to the real login page while silently copying your credentials.
Yes, it's that straightforward. And that effective.
Breaking It Down
According to Krebs on Security, Starkiller uses a proxy relay technique—essentially acting as a Man-in-the-Middle between you and legitimate login infrastructure. You think you're typing your password into Microsoft or Google or whatever service you're accessing. You're not. You're typing it into Starkiller's proxy, which then forwards your credentials to the real login page, grabs your MFA code when you enter it, and sends that along too.
Here's what makes this particularly nasty: The attacker gets your credentials AND your MFA code. Both. At the same time.
Traditional phishing detection relies on spotting fake login pages. But Starkiller isn't hosting fake pages—it's relaying to the genuine ones. Your browser sees a legitimate SSL certificate. The page behaves exactly like the real thing. Your security tools see legitimate traffic flowing to legitimate servers. The whole attack is hidden inside what looks like normal, authenticated activity.
The question that keeps me up at night? How many organizations are still assuming their users won't fall for a phishing email if they've got MFA enabled?
The Technical Side
Here's how the attack chain works in practice. An attacker sends you a phishing email with a link to their proxy server, dressed up to look like a routine password reset or security alert. You click it. You're presented with what appears to be a legitimate login page—because the CSS, the layout, the entire user experience is being relayed in real time from the actual service.
You enter your username and password. The proxy captures it and forwards it immediately to the real login page.
The real service challenges you for MFA. Your authenticator app buzzes. You type in your six-digit code. That gets captured too, then forwarded to the legitimate server. The proxy completes the authentication successfully.
From the user's perspective? They just logged in normally. They might even get redirected to a real dashboard or inbox.
From the attacker's perspective? They've got valid credentials and a valid MFA code that can be replayed within the MFA window—sometimes 30 to 60 seconds. That's more than enough time to establish a session or change account recovery options.
This is why people keep asking: can MFA be hacked? Technically, it depends on your implementation. But a proxy relay like Starkiller doesn't hack MFA at all—it just intercepts it before it becomes authentication. The most secure multi-factor authentication in the world won't protect you if an attacker is sitting between you and the login page collecting your codes in real time.
Who's Affected
Krebs on Security reported that Starkiller has real victims. This isn't theoretical. Organizations across multiple sectors have already been compromised through this service, which apparently operates as a commercial offering for other attackers.
So basically: anyone using email-based phishing vectors. Anyone relying solely on password plus MFA. Anyone whose employees click links in emails they shouldn't.
The scope is genuinely concerning because Starkiller targets any service with an online login page. Microsoft accounts. Google accounts. AWS. GitHub. Financial institutions. Email providers. It's not selective—it works against anything with a web-based authentication interface.
What To Do Now
First, understand that MFA still matters. But it's one layer, not a wall. How does MFA enhance security? It makes credential stuffing and password spray attacks significantly harder. But it doesn't protect you against someone who has both your password AND a valid MFA code collected at the same time.
Start requiring passkeys or hardware security keys instead of time-based codes. These can't be intercepted and replayed the same way because they're cryptographically bound to the actual domain you're logging into. A passkey won't work against Starkiller's proxy because the proxy can't impersonate the cryptographic properties of your hardware key.
Second, enforce email authentication and suspicious login alerts aggressively. When someone logs in from a new location or device, make them verify through a secondary channel—a phone call, a verification code sent to a trusted device, something that breaks the proxy chain.
Third, this is an MFA security breach in the sense that MFA's protection is being bypassed. Monitor your accounts for unusual activity. If you see a login from somewhere you don't recognize, change your password and recovery options immediately.
And keep your employees trained. Not generic training. Real scenarios. Real phishing emails. Real consequences for clicking.
The hard truth: Starkiller exists because it works. Until we move away from static credentials toward true cryptographic authentication, attackers will keep building proxy services. The sooner your organization makes that shift, the better.
Сервіс фішингу Starkiller проксує справжні сторінки входу — і ваші коди MFA
Дослідники інформаційної безпеки щойно виявили щось, що змусить вас переглянути своє ставлення до MFA. Існує активна платформа фішингу як сервісу під назвою Starkiller, яка перехоплює облікові дані і коди багатофакторної аутентифікації в реальному часі. Не шляхом зламання чогось. Не шляхом експлуатації zero-day. Вона сидить посередині вашого входу і перенаправляє все на справжню сторінку входу, тихо копіюючи ваші облікові дані.
Так, це настільки просто. І настільки ефективно.
Розбір по частинах
Згідно з Krebs on Security, Starkiller використовує техніку проксі-релею — по суті, виступаючи Man-in-the-Middle між вами та легітимною інфраструктурою входу. Ви думаєте, що вводите пароль у Microsoft або Google, або будь-якому іншому сервісі, до якого отримуєте доступ. Ви цього не робите. Ви вводите його в проксі Starkiller, який потім перенаправляє ваші облікові дані на справжню сторінку входу, перехоплює ваш код MFA, коли ви його вводите, і передає його також.
От що робить це особливо небезпечним: зловмисник отримує ваші облікові дані І ваш код MFA. Обидва. Одночасно.
Традиційне виявлення фішингу спирається на виявлення поддільних сторінок входу. Але Starkiller не розміщує поддільні сторінки — вона перенаправляє на справжні. Ваш браузер бачить легітимний SSL-сертифікат. Сторінка поводиться точно як справжня. Ваші інструменти безпеки бачать легітимний трафік, що йде на легітимні сервери. Весь напад приховується всередині того, що виглядає як звичайна, аутентифікована діяльність.
Питання, яке не дає мені спати вночі? Скільки організацій все ще припускають, що їхні користувачі не впадуть на фішинговий електронний лист, якщо у них увімкнена MFA?
Технічна сторона
Ось як ланцюг атак працює на практиці. Зловмисник надсилає вам фішинговий електронний лист із посиланням на його проксі-сервер, замаскований під звичайний скидання пароля або сповіщення безпеки. Ви на нього натискаєте. Вам представляється те, що виглядає як легітимна сторінка входу — тому що CSS, макет, весь користувацький досвід реле в реальному часі від фактичного сервісу.
Ви вводите своє ім'я користувача та пароль. Проксі перехоплює їх і одразу перенаправляє на справжню сторінку входу.
Справжній сервіс вимагає від вас MFA. Ваша програма аутентифікатора дає сигнал. Ви вводите свій шестизначний код. Це також перехоплюється, а потім перенаправляється на легітимний сервер. Проксі успішно завершує аутентифікацію.
З точки зору користувача? Вони щойно нормально увійшли. Вони навіть можуть отримати перенаправлення на справжню панель керування або скриньку вхідних повідомлень.
З точки зору зловмисника? Він має дійсні облікові дані та дійсний код MFA, який можна повторити в межах вікна MFA — іноді від 30 до 60 секунд. Цього більш ніж достатньо, щоб встановити сеанс або змінити параметри відновлення облікового запису.
Ось чому люди продовжують питати: чи можна зламати MFA? Технічно це залежить від вашої реалізації. Але проксі-релей на кшталт Starkiller взагалі не зламує MFA — він просто перехоплює його до того, як воно стане аутентифікацією. Найбезпечніша багатофакторна аутентифікація у світі не захистить вас, якщо зловмисник сидить між вами та сторінкою входу, збираючи ваші коди в реальному часі.
Хто постраждав
Krebs on Security повідомив, що Starkiller має реальних жертв. Це не теорія. Організації в багатьох секторах уже були скомпрометовані через цей сервіс, який, мабуть, працює як комерційна пропозиція для інших зловмисників.
По суті: будь-хто, хто використовує вектори фішингу на основі електронної пошти. Будь-хто, хто покладається тільки на пароль плюс MFA. Будь-хто, чиї співробітники натискають на посилання в електронних листах, на які вони не повинні натискати.
Обсяг дійсно викликає занепокоєння, тому що Starkiller атакує будь-який сервіс з веб-сторінкою входу. Облікові записи Microsoft. Облікові записи Google. AWS. GitHub. Фінансові установи. Постачальники електронної пошти. Це не вибіркове — це працює проти всього, що має веб-інтерфейс аутентифікації.
Що робити зараз
По-перше, розумійте, що MFA все ще важлива. Але це один шар, а не стіна. Як MFA підвищує безпеку? Це робить атаки на основі перебору облікових даних і спрей паролів значно складнішими. Але це не захистить вас від того, хто має як ваш пароль, так і дійсний код MFA, зібрані одночасно.
Почніть вимагати passkey або апаратні ключі безпеки замість кодів на основі часу. Вони не можуть бути перехоплені і повторені таким же чином, тому що вони криптографічно пов'язані з фактичним доменом, на який ви входите. Passkey не буде працювати проти проксі Starkiller, тому що проксі не може видавати криптографічні властивості вашого апаратного ключа.
По-друге, примусово впроваджуйте аутентифікацію електронної пошти та сповіщення про підозрілі входи. Коли хтось входить з нової локації або пристрою, змусьте його підтвердити через додатковий канал — телефонний дзвінок, код підтвердження, надісланий на надійний пристрій, щось, що розриває ланцюг проксі.
По-третє, це порушення безпеки MFA в тому сенсі, що захист MFA обходиться. Контролюйте свої облікові записи на предмет незвичної діяльності. Якщо ви бачите вхід звідкись, де ви не впізнаєте себе, негайно змініть свій пароль і параметри відновлення.
І продовжуйте навчати своїх співробітників. Не загальне навчання. Реальні сценарії. Реальні фішингові електронні листи. Реальні наслідки за натискання.
Гірька правда: Starkiller існує, тому що це працює. Доки ми не перейдемо від статичних облікових даних до справжньої криптографічної аутентифікації, зловмисники будуть продовжувати створювати проксі-сервіси. Чим швидше ваша організація зробить цей крок, тим краще.