PoisonSeed inganna gli utenti inducendoli a bypassare le chiavi FIDO con i codici QR
I ricercatori di sicurezza di Expel hanno descritto in dettaglio una nuova tecnica di phishing che elude la protezione offerta dalle chiavi di sicurezza fisiche FIDO (Fast Identity Online). Sebbene le chiavi rimangano intatte, gli aggressori hanno scoperto come indurre gli utenti a concedere l'accesso sfruttando in modo improprio una legittima funzionalità di accesso multi-dispositivo.
Gli aggressori non avevano bisogno di violare la chiave di sicurezza FIDO . Si sono affidati al social engineering per aggirarla. Hanno sfruttato la funzionalità di accesso multi-dispositivo, pensata per rendere FIDO più intuitivo, e l'hanno usata contro la vittima.
Codice QR e pagina di phishingInizia con l'utente che visita una pagina di accesso falsa e inserisce le proprie credenziali. L'aggressore utilizza queste credenziali per avviare un vero accesso al sito reale, che visualizza poi un codice QR . L'utente vede il codice e lo scansiona con la sua app MFA, senza rendersi conto di aver appena approvato l'accesso dell'aggressore.
La campagna è stata individuata durante un attacco di phishing contro un cliente di Expel. Le vittime venivano attirate su una falsa pagina di accesso di Okta che imitava il portale legittimo dell'azienda. Una volta inserite le credenziali, il sito di phishing le inoltrava al sistema di accesso reale e richiedeva un accesso multi-dispositivo.
Il sistema ha quindi visualizzato un codice QR, che il sito di phishing ha catturato e mostrato all'utente. Scansionato tramite l'app MFA mobile, l'utente ha approvato inconsapevolmente la sessione dell'aggressore.
Questo approccio aggira la necessità di interazione fisica con la chiave FIDO, normalmente necessaria per completare l'accesso. Dimostra inoltre come gli aggressori continuino a trovare nuovi modi per aggirare anche i sistemi di autenticazione più sicuri, non hackerando la tecnologia in sé, ma sfruttando le persone che la utilizzano.
Secondo il rapporto di Expel condiviso con Hackread.com, l'azienda sospetta che il gruppo dietro l'attacco sia PoisonSeed, un noto autore di minacce collegato a campagne di phishing e furto di criptovalute. Sebbene l'obiettivo in questo caso fosse probabilmente l'accesso agli account, la stessa tecnica potrebbe essere applicata ad altri tipi di phishing o furto di dati.
Expel ha anche fatto riferimento a un secondo incidente in cui gli aggressori hanno utilizzato il phishing per reimpostare la password di un utente e poi hanno registrato la propria chiave FIDO sull'account. A differenza dell'approccio basato sul codice QR, questo non si basava su ulteriori tentativi di ingannare l'utente dopo la compromissione iniziale. Si è trattato di un'acquisizione diretta.
Cosa si può fare, quindi? Expel consiglia di esaminare attentamente i registri di autenticazione per individuare attività insolite, come accessi da posizioni inaspettate o la registrazione rapida di più chiavi FIDO. Limitare le autorizzazioni di accesso geografiche e richiedere la prossimità Bluetooth per l'autenticazione tra dispositivi sono misure efficaci per ridurre il rischio.
J Stephen Kowski , Field CTO di SlashNext, è intervenuto sottolineando che non si tratta di un problema tecnico del sistema, ma di un uso improprio deliberato di una funzionalità. "La tecnica è intelligente perché sfrutta la legittima funzionalità di accesso multi-dispositivo che rende le chiavi FIDO più intuitive", ha affermato, aggiungendo che gli aggressori ora stanno aggirando l'autenticazione forte anziché cercare di violarla.
HackRead
