PoisonSeed bringt Benutzer dazu, FIDO-Schlüssel mit QR-Codes zu umgehen

Sicherheitsforscher von Expel haben eine neue Phishing-Technik beschrieben, die den Schutz physischer FIDO-Sicherheitsschlüssel (Fast Identity Online) umgeht. Während die Schlüssel selbst ungeschützt bleiben, haben Angreifer herausgefunden, wie sie Benutzer durch Missbrauch einer legitimen geräteübergreifenden Anmeldefunktion dazu verleiten können, Zugriff zu gewähren.

Die Angreifer mussten den FIDO-Sicherheitsschlüssel selbst nicht knacken. Stattdessen setzten sie auf Social Engineering, um ihn zu umgehen. Sie nutzten die geräteübergreifende Anmeldefunktion, die FIDO benutzerfreundlicher machen soll, und setzten sie gegen das Opfer ein.

QR-Code und Phishing-Seite

Zunächst besucht der Nutzer eine gefälschte Anmeldeseite und gibt seine Anmeldedaten ein. Der Angreifer nutzt diese Daten, um sich auf der tatsächlichen Website anzumelden. Dort wird ein QR-Code angezeigt. Der Nutzer sieht diesen Code und scannt ihn mit seiner MFA-App, ohne zu merken, dass er damit die Anmeldung des Angreifers genehmigt.

Die Kampagne wurde während eines Phishing-Angriffs auf einen Expel-Kunden entdeckt. Die Opfer wurden auf eine gefälschte Okta- Anmeldeseite gelockt, die dem legitimen Portal des Unternehmens ähnelte. Nach Eingabe ihrer Anmeldedaten leitete die Phishing-Seite sie an das echte Anmeldesystem weiter und forderte eine geräteübergreifende Anmeldung an.

Dieses System zeigte dann einen QR-Code an, den die Phishing-Site erfasste und dem Benutzer zeigte. Durch das Scannen mit der mobilen MFA-App genehmigte der Benutzer unwissentlich die Sitzung des Angreifers.

Dieser Ansatz umgeht die physische Interaktion mit dem FIDO-Schlüssel, die normalerweise für die Anmeldung erforderlich wäre. Er zeigt auch, wie Angreifer immer wieder neue Wege finden, selbst die sichersten Authentifizierungssysteme zu umgehen – nicht indem sie die Technologie selbst hacken, sondern indem sie die Nutzer ausnutzen.

Laut einem Bericht von Expel, der Hackread.com vorliegt, vermutet das Unternehmen, dass die Gruppe hinter dem Angriff PoisonSeed ist, ein bekannter Bedrohungsakteur, der mit Phishing-Kampagnen und Kryptowährungsdiebstahl in Verbindung gebracht wird. Obwohl das Ziel in diesem Fall wahrscheinlich der Kontozugriff war, könnte die gleiche Technik auch bei anderen Arten von Phishing oder Datendiebstahl angewendet werden.

Expel verwies auch auf einen zweiten Vorfall, bei dem Angreifer Phishing nutzten, um das Passwort eines Benutzers zurückzusetzen und anschließend ihren eigenen FIDO-Schlüssel für das Konto registrierten. Anders als beim QR-Code-Ansatz wurde der Benutzer hier nicht nach der ersten Kompromittierung weiter ausgetrickst. Es handelte sich um eine direkte Übernahme.

Was also tun? Expel empfiehlt, Authentifizierungsprotokolle sorgfältig auf ungewöhnliche Aktivitäten zu überprüfen, wie z. B. Anmeldungen von unerwarteten Standorten oder die schnelle Registrierung mehrerer FIDO-Schlüssel. Die Einschränkung geografischer Anmeldeberechtigungen und die Anforderung einer Bluetooth-Näherung für die geräteübergreifende Authentifizierung sind ebenfalls wirksame Maßnahmen zur Risikominderung.

J Stephen Kowski , Field CTO bei SlashNext, wies darauf hin, dass es sich nicht um einen Systemfehler, sondern um einen bewussten Missbrauch einer Funktion handele. „Die Technik ist clever, weil sie die legitime geräteübergreifende Anmeldefunktion ausnutzt, die FIDO-Schlüssel benutzerfreundlicher macht“, sagte er und fügte hinzu, dass Angreifer nun die starke Authentifizierung umgehen, anstatt zu versuchen, sie zu knacken.