Операторы фишинговой кампании PoisonSeed нашли способ обхода FIDO (в данном случае — FIDO2 с WebAuthn), используя механизм аутентификации между устройствами, реализованный в WebAuthn. Злоумышленники убеждают жертв подтвердить запросы на вход, поступающие с фальшивых корпоративных порталов.
Напомним, что кампания PoisonSeed строится на фишинге, конечной целью которого является финансовое мошенничество. Так, в прошлом злоумышленники взламывали корпоративные учетные записи для email-маркетинга и рассылали пользователям письма с готовыми seed-фразами для криптокошельков.
В новых атаках, замеченных экспертами из компании Expel, злоумышленники не используют уязвимость в механизмах FIDO, а злоупотребляют легитимной функцией аутентификации между устройствами.
Эта функция WebAuthn позволяет пользователю авторизоваться на одном устройстве, используя ключ безопасности или приложение-аутентификатор на другом. Вместо физического подключения ключа (например, через USB), запрос на аутентификацию передается посредством Bluetooth или через QR-код.
Новые атаки PoisonSeed начинаются с перенаправления жертвы на фишинговый сайт, имитирующий корпоративный портал для входа в Okta или Microsoft 365. После ввода учетных данных жертвы фишинговая инфраструктура в реальном времени использует эти данные для входа на настоящий портал.
В обычной ситуации жертве пришлось бы подтвердить вход с помощью своего FIDO-ключа. Однако в этой схеме фишинговый сервер инициирует вход через механизм входа с другого устройства. В результате настоящий портал генерирует QR-код, который передается на фишинговую страницу и показывается жертве.
Когда пользователь сканирует этот QR-код своим смартфоном или приложением-аутентификатором, по сути, он одобряет вход, инициированный злоумышленниками. Это позволяет обойти защиту FIDO за счет перехода к аутентификации между устройствами, которая не требует физического подключения ключа и может быть одобрена удаленно.
Исследователи подчеркивают, что в атаке не используются какие-либо уязвимости в FIDO. Вместо этого злоумышленники злоупотребляют штатной функцией, которая позволяет осуществить даунгрейд уровня защиты.
Для защиты от таких атак специалисты советуют:
- ограничить географические регионы, из которых допускается вход в систему, и внедрить процедуру регистрации для сотрудников в командировках;
- регулярно проверять регистрацию новых ключей FIDO из необычных геолокаций или от малоизвестных производителей;
- по возможности обязать сотрудников использовать Bluetooth при межустройственной аутентификации, что снижает риски удаленных атак.
Также в своем отчете аналитики Expel описывают другой инцидент, где злоумышленник зарегистрировал собственный FIDO-ключ после компрометации учетной записи жертвы (предположительно, с помощью фишинга). В этом случае не потребовалось даже подделывать QR-код или взаимодействовать с жертвой — вход был полностью завершен на стороне атакующего.
Этот случай подчеркивает, что даже устойчивые перед фишингом методы аутентификации можно обойти, если убедить пользователя завершить процедуру входа без физического взаимодействия с ключом.