PoisonSeed oszukuje użytkowników, aby ominęli klucze FIDO za pomocą kodów QR

Badacze bezpieczeństwa z Expel opisali nową technikę phishingu, która omija ochronę oferowaną przez fizyczne klucze bezpieczeństwa FIDO (Fast Identity Online). Chociaż same klucze pozostają nienaruszone, atakujący odkryli, jak oszukać użytkowników i uzyskać dostęp, wykorzystując legalną funkcję logowania między urządzeniami.

Atakujący nie musieli łamać samego klucza bezpieczeństwa FIDO . Zamiast tego, aby go obejść, zastosowali socjotechnikę. Wykorzystali funkcję logowania między urządzeniami, która ma uczynić FIDO bardziej przyjaznym dla użytkownika, i użyli jej przeciwko ofierze.

Kod QR i strona phishingowa

Zaczyna się od tego, że użytkownik odwiedza fałszywą stronę logowania i wprowadza swoje dane. Atakujący wykorzystuje te dane, aby rozpocząć prawdziwe logowanie na prawdziwej stronie, która następnie wyświetla kod QR . Użytkownik widzi ten kod i skanuje go za pomocą aplikacji MFA, nie zdając sobie sprawy, że właśnie zatwierdził logowanie atakującego.

Kampania została zauważona podczas ataku phishingowego na klienta Expel. Ofiary były zwabiane na fałszywą stronę logowania Okta , która imitowała legalny portal firmy. Po wprowadzeniu danych logowania, strona phishingowa przekierowywała użytkowników do prawdziwego systemu logowania i żądała logowania na wielu urządzeniach.

System wyświetlał następnie kod QR, który strona phishingowa przechwyciła i pokazała użytkownikowi. Po zeskanowaniu za pomocą aplikacji mobilnej MFA, użytkownik nieświadomie zatwierdził sesję atakującego.

To podejście omija konieczność fizycznej interakcji z kluczem FIDO, która normalnie byłaby wymagana do zalogowania. Pokazuje również, jak atakujący wciąż znajdują nowe sposoby na obejście nawet najbezpieczniejszych systemów uwierzytelniania, nie hakując samej technologii, ale wykorzystując w ten sposób osoby z niej korzystające.

Według raportu Expel udostępnionego Hackread.com, firma podejrzewa, że za atakiem stoi grupa PoisonSeed, znany aktor cyberprzestępczy powiązany z kampaniami phishingowymi i kradzieżą kryptowalut. Chociaż celem w tym przypadku był prawdopodobnie dostęp do konta, tę samą technikę można zastosować do innych rodzajów phishingu lub kradzieży danych.

Expel odniósł się również do drugiego incydentu, w którym atakujący wykorzystali phishing do zresetowania hasła użytkownika, a następnie zarejestrowali własny klucz FIDO dla konta. W przeciwieństwie do podejścia z kodem QR, to nie polegało na dalszym oszukiwaniu użytkownika po początkowym włamaniu. Było to bezpośrednie przejęcie kontroli nad kontem.

Co zatem można zrobić? Expel zaleca uważne przeglądanie logów uwierzytelniania pod kątem nietypowych działań, takich jak logowania z nieoczekiwanych lokalizacji lub szybka rejestracja wielu kluczy FIDO. Ograniczenie uprawnień do logowania geograficznego i wymóg bliskiej łączności Bluetooth w celu uwierzytelnienia między urządzeniami to również skuteczne kroki w celu zmniejszenia ryzyka.

J. Stephen Kowski , dyrektor ds. technologii terenowych w SlashNext, wtrącił się, wskazując, że nie jest to usterka systemu, a celowe nadużycie funkcji. „Ta technika jest sprytna, ponieważ wykorzystuje legalną funkcję logowania między urządzeniami, która sprawia, że klucze FIDO są bardziej przyjazne dla użytkownika” – powiedział, dodając, że atakujący starają się teraz obejść silne uwierzytelnianie, zamiast próbować je złamać.