Группа PoisonSeed использует изощренную фишинговую схему, обходящую защиту FIDO2-ключей. Эксперты Expel обнаружили атаку, эксплуатирующую легитимную функцию «кросс-девайс входа» (hybrid transport). Злоумышленники вынуждают жертв подтверждать вход на поддельных страницах, перехватывая QR-коды для авторизации.
Атака начинается с фишингового письма, ведущего на фальшивый портал Okta. Жертва вводит логин и пароль, которые мгновенно передаются на настоящий сайт. Критический этап: фишинговая страница запрашивает у реального портала метод «гибридной транспортировки». Настоящий портал генерирует QR-код для входа через второе устройство, который немедленно перехватывается и отображается жертве на поддельном сайте.
Когда пользователь сканирует код своим приложением MFA (например, на смартфоне), аутентификатор связывается с настоящим порталом. Поскольку злоумышленники уже подставили украденные учетные данные и инициировали кросс-девайс вход, сканирование кода открывает им доступ к аккаунту.
Уязвимость не в протоколе, а в реализации: Атака возможна только при использовании гибридного метода без строгих проверок близости (Bluetooth, локальная аттестация). Она терпит неудачу, если требуется прямое подключение ключа к устройству или используются платформенно-привязанные аутентификаторы (например, Face ID в контексте браузера). Как подчеркивают исследователи Expel Бен Нахорни и Брэндон Оверстрит: «Злоумышленники не обходят защиту FIDO, а понижают уровень аутентификации до метода, уязвимого к фишингу».
Expel зафиксировал дополнительную тактику: после компрометации аккаунта через фишинг, PoisonSeed регистрировали собственный FIDO-ключ жертвы, сбрасывая пароль. Это обеспечивало им долгосрочный доступ.
Как защититься (рекомендации Expel):
«Атаки типа 'злоумышленник посередине' (AitM) на FIDO и подконтрольные злоумышленникам ключи — лишь последние примеры в череде попыток компрометации аккаунтов», — заключают Нахорни и Оверстрит. Ключ к безопасности — последовательное применение устойчивых к фишингу методов везде, где происходит аутентификация.
Атака начинается с фишингового письма, ведущего на фальшивый портал Okta. Жертва вводит логин и пароль, которые мгновенно передаются на настоящий сайт. Критический этап: фишинговая страница запрашивает у реального портала метод «гибридной транспортировки». Настоящий портал генерирует QR-код для входа через второе устройство, который немедленно перехватывается и отображается жертве на поддельном сайте.
Когда пользователь сканирует код своим приложением MFA (например, на смартфоне), аутентификатор связывается с настоящим порталом. Поскольку злоумышленники уже подставили украденные учетные данные и инициировали кросс-девайс вход, сканирование кода открывает им доступ к аккаунту.
Уязвимость не в протоколе, а в реализации: Атака возможна только при использовании гибридного метода без строгих проверок близости (Bluetooth, локальная аттестация). Она терпит неудачу, если требуется прямое подключение ключа к устройству или используются платформенно-привязанные аутентификаторы (например, Face ID в контексте браузера). Как подчеркивают исследователи Expel Бен Нахорни и Брэндон Оверстрит: «Злоумышленники не обходят защиту FIDO, а понижают уровень аутентификации до метода, уязвимого к фишингу».
Expel зафиксировал дополнительную тактику: после компрометации аккаунта через фишинг, PoisonSeed регистрировали собственный FIDO-ключ жертвы, сбрасывая пароль. Это обеспечивало им долгосрочный доступ.
Как защититься (рекомендации Expel):
- Комбинируйте FIDO2 с проверкой устройств. Анализируйте устройство, используемое для входа.
- Приоритет аутентификации на одном устройстве. Где возможно, входите с девайса, где хранится пасскей, чтобы исключить риск перехвата.
- Мониторьте аномалии. Отслеживайте подозрительные входы по QR-коду или новую регистрацию FIDO-ключей.
- Защитите восстановление аккаунта. Применяйте фишинг-устойчивые методы для сброса пароля.
- Улучшите UX страницы входа. Добавляйте детали: геолокацию, тип устройства, четкие предупреждения о подозрительной активности — особенно для кросс-девайс входа.
- Внедрите сквозную защиту. Используйте фишинг-устойчивую аутентификацию на всех этапах жизненного цикла аккаунта, включая восстановление.
«Атаки типа 'злоумышленник посередине' (AitM) на FIDO и подконтрольные злоумышленникам ключи — лишь последние примеры в череде попыток компрометации аккаунтов», — заключают Нахорни и Оверстрит. Ключ к безопасности — последовательное применение устойчивых к фишингу методов везде, где происходит аутентификация.
