PoisonSeed engana usuários para que ignorem chaves FIDO com códigos QR
Pesquisadores de segurança da Expel detalharam uma nova técnica de phishing que contorna a proteção oferecida pelas chaves de segurança físicas FIDO (Fast Identity Online). Embora as chaves em si permaneçam intactas, os invasores descobriram como enganar os usuários para que concedam acesso, utilizando indevidamente um recurso legítimo de login entre dispositivos.
Os invasores não precisaram quebrar a chave de segurança FIDO em si. Em vez disso, recorreram à engenharia social para burlá-la. Eles aproveitaram o recurso de login entre dispositivos, que visa tornar o FIDO mais amigável ao usuário, e o usaram contra a vítima.
Página de código QR e phishingTudo começa com o usuário acessando uma página de login falsa e inserindo suas credenciais. O invasor usa essas informações para iniciar um login real no site real, que exibe um código QR . O usuário vê o código e o escaneia com seu aplicativo MFA, sem perceber que acabou de aprovar o login do invasor.
A campanha foi detectada durante um ataque de phishing contra um cliente da Expel. As vítimas eram atraídas para uma página de login falsa da Okta , que imitava o portal legítimo da empresa. Assim que os usuários inseriam suas credenciais, o site de phishing as encaminhava para o sistema de login real e solicitava um login entre dispositivos.
O sistema então exibia um código QR, que o site de phishing capturava e mostrava ao usuário. Ao ser escaneado pelo aplicativo MFA para dispositivos móveis, o usuário, sem saber, aprovava a sessão do invasor.
Essa abordagem ignora a necessidade de interação física com a chave FIDO, que normalmente seria necessária para concluir o login. Também mostra como os invasores continuam a encontrar novas maneiras de burlar até mesmo os sistemas de autenticação mais seguros, não hackeando a tecnologia em si, mas explorando as pessoas que a utilizam.
De acordo com o relatório da Expel compartilhado com o Hackread.com, a empresa suspeita que o grupo por trás do ataque seja o PoisonSeed, um conhecido agente de ameaças ligado a campanhas de phishing e roubo de criptomoedas. Embora o objetivo neste caso fosse provavelmente o acesso à conta, a mesma técnica poderia ser aplicada a outros tipos de phishing ou roubo de dados.
Expel também mencionou um segundo incidente em que invasores usaram phishing para redefinir a senha de um usuário e, em seguida, registraram sua própria chave FIDO na conta. Ao contrário da abordagem do código QR, esta não dependia de enganar o usuário ainda mais após o comprometimento inicial. Foi uma aquisição direta.
Então, o que pode ser feito? A Expel recomenda revisar atentamente os registros de autenticação em busca de atividades incomuns, como logins de locais inesperados ou registro rápido de várias chaves FIDO. Limitar as permissões de login geográfico e exigir proximidade Bluetooth para autenticação entre dispositivos também são medidas eficazes para reduzir riscos.
J. Stephen Kowski , CTO de Campo da SlashNext, opinou, apontando que não se trata de uma falha no sistema, mas sim de um uso indevido deliberado de um recurso. "A técnica é inteligente porque explora o recurso legítimo de login entre dispositivos, que torna as chaves FIDO mais fáceis de usar", disse ele, acrescentando que os invasores agora estão contornando a autenticação forte em vez de tentar quebrá-la.
HackRead
