PoisonSeed обманывает пользователей, заставляя их обходить ключи FIDO с помощью QR-кодов

Исследователи безопасности Expel подробно описали новый метод фишинга, который обходит защиту, обеспечиваемую физическими ключами безопасности FIDO (Fast Identity Online). Хотя сами ключи остаются нетронутыми, злоумышленники нашли способ обманным путём заставить пользователей предоставить доступ, используя легитимную функцию входа на разных устройствах.

Злоумышленникам не потребовалось взламывать сам ключ безопасности FIDO . Вместо этого они прибегли к социальной инженерии, чтобы обойти его. Они воспользовались функцией входа с разных устройств, которая должна сделать FIDO более удобным для пользователей, и применили её против жертвы.

QR-код и фишинговая страница

Всё начинается с того, что пользователь заходит на поддельную страницу входа и вводит свои учётные данные. Злоумышленник использует эти данные для входа на настоящий сайт, где отображается QR-код . Пользователь видит этот код и сканирует его с помощью приложения MFA, не осознавая, что только что одобрил вход злоумышленника.

Кампания была обнаружена во время фишинговой атаки на клиента Expel. Жертв заманивали на поддельную страницу входа в Okta , имитирующую официальный портал компании. После ввода учётных данных фишинговый сайт передавал их в настоящую систему входа и запрашивал кроссплатформенную авторизацию.

Затем эта система отображала QR-код, который фишинговый сайт перехватывал и показывал пользователю. При сканировании с помощью мобильного приложения MFA пользователь неосознанно одобрял сеанс злоумышленника.

Такой подход исключает необходимость физического взаимодействия с ключом FIDO, которое обычно требуется для входа в систему. Это также показывает, как злоумышленники продолжают находить новые способы обхода даже самых надёжных систем аутентификации, не взламывая саму технологию, а эксплуатируя уязвимости пользователей.

Согласно отчёту Expel, предоставленному Hackread.com, компания подозревает, что за атакой стоит группа PoisonSeed, известная киберпреступница, связанная с фишинговыми кампаниями и кражей криптовалюты. Хотя в данном случае целью, вероятно, был доступ к учётной записи, тот же приём может быть применён и для других видов фишинга или кражи данных.

Expel также упомянул второй инцидент, когда злоумышленники использовали фишинг для сброса пароля пользователя, а затем зарегистрировали собственный ключ FIDO для учётной записи. В отличие от подхода с QR-кодом, этот подход не предполагал дальнейшего обмана пользователя после первоначальной компрометации. Это был прямой захват.

Итак, что можно сделать? Expel рекомендует внимательно проверять журналы аутентификации на предмет необычной активности, например, входа из неожиданных мест или быстрой регистрации нескольких ключей FIDO. Ограничение географических прав входа и требование наличия Bluetooth-соединения для аутентификации между устройствами также являются эффективными мерами по снижению риска.

Джей Стивен Коуски , технический директор SlashNext, отметил, что это не сбой в системе, а преднамеренное злоупотребление функцией. «Этот метод хорош тем, что он использует легитимную функцию входа с разных устройств, которая делает ключи FIDO более удобными для пользователей», — сказал он, добавив, что теперь злоумышленники обходят строгую аутентификацию, а не пытаются её взломать.