Операторы фишинговой кампании PoisonSeed
обхода FIDO (в данном случае — FIDO2 с WebAuthn), используя механизм аутентификации между устройствами, реализованный в WebAuthn.
Злоумышленники убеждают жертв подтвердить запросы на вход, поступающие с фальшивых корпоративных порталов.
Напомним, что кампания PoisonSeed строится на фишинге, конечной целью которого является финансовое мошенничество. Так, в прошлом злоумышленники взламывали корпоративные учетные записи для email-маркетинга и пользователям письма с готовыми seed-фразами для криптокошельков.
В новых атаках, замеченных экспертами из компании Expel, злоумышленники не используют уязвимость в механизмах FIDO, а злоупотребляют легитимной функцией аутентификации между устройствами.
Эта функция WebAuthn позволяет пользователю авторизоваться на одном устройстве, используя ключ безопасности или приложение-аутентификатор на другом. Вместо физического подключения ключа (например, через US
, запрос на аутентификацию передается посредством Bluetooth или через QR-код.
Новые атаки PoisonSeed начинаются с перенаправления жертвы на фишинговый сайт, имитирующий корпоративный портал для входа в Okta или Microsoft 365. После ввода учетных данных жертвы фишинговая инфраструктура в реальном времени использует эти данные для входа на настоящий портал.
Когда пользователь сканирует этот QR-код своим смартфоном или приложением-аутентификатором, по сути, он одобряет вход, инициированный злоумышленниками. Это позволяет обойти защиту FIDO за счет перехода к аутентификации между устройствами, которая не требует физического подключения ключа и может быть одобрена удаленно.
Схема атаки
Исследователи подчеркивают, что в атаке не используются какие-либо уязвимости в FIDO. Вместо этого злоумышленники злоупотребляют штатной функцией, которая позволяет осуществить даунгрейд уровня защиты.
Для защиты от таких атак специалисты советуют:
Этот случай подчеркивает, что даже устойчивые перед фишингом методы аутентификации можно обойти, если убедить пользователя завершить процедуру входа без физического взаимодействия с ключом.
Злоумышленники убеждают жертв подтвердить запросы на вход, поступающие с фальшивых корпоративных порталов.
Напомним, что кампания PoisonSeed строится на фишинге, конечной целью которого является финансовое мошенничество. Так, в прошлом злоумышленники взламывали корпоративные учетные записи для email-маркетинга и пользователям письма с готовыми seed-фразами для криптокошельков.
В новых атаках, замеченных экспертами из компании Expel, злоумышленники не используют уязвимость в механизмах FIDO, а злоупотребляют легитимной функцией аутентификации между устройствами.
Эта функция WebAuthn позволяет пользователю авторизоваться на одном устройстве, используя ключ безопасности или приложение-аутентификатор на другом. Вместо физического подключения ключа (например, через US
, запрос на аутентификацию передается посредством Bluetooth или через QR-код.Новые атаки PoisonSeed начинаются с перенаправления жертвы на фишинговый сайт, имитирующий корпоративный портал для входа в Okta или Microsoft 365. После ввода учетных данных жертвы фишинговая инфраструктура в реальном времени использует эти данные для входа на настоящий портал.
Когда пользователь сканирует этот QR-код своим смартфоном или приложением-аутентификатором, по сути, он одобряет вход, инициированный злоумышленниками. Это позволяет обойти защиту FIDO за счет перехода к аутентификации между устройствами, которая не требует физического подключения ключа и может быть одобрена удаленно.
Схема атаки
Исследователи подчеркивают, что в атаке не используются какие-либо уязвимости в FIDO. Вместо этого злоумышленники злоупотребляют штатной функцией, которая позволяет осуществить даунгрейд уровня защиты.
Для защиты от таких атак специалисты советуют:
- ограничить географические регионы, из которых допускается вход в систему, и внедрить процедуру регистрации для сотрудников в командировках;
- регулярно проверять регистрацию новых ключей FIDO из необычных геолокаций или от малоизвестных производителей;
- по возможности обязать сотрудников использовать Bluetooth при межустройственной аутентификации, что снижает риски удаленных атак.
Этот случай подчеркивает, что даже устойчивые перед фишингом методы аутентификации можно обойти, если убедить пользователя завершить процедуру входа без физического взаимодействия с ключом.
