Istraživači sajber sigurnosti otkrili su novu tehniku napada koja omogućava prijetnjama da zaobiđu zaštitu ključeva Fast IDentity Online ( FIDO ) tako što obmanjuju korisnike da odobre zahtjeve za autentifikaciju sa lažnih portala za prijavu kompanija.
FIDO ključevi su hardverski ili softverski autentifikatori dizajnirani za eliminaciju phishinga povezivanjem prijava s određenim domenama korištenjem kriptografije javnog i privatnog ključa. U ovom slučaju, napadači iskorištavaju legitimnu funkciju – prijavu na više uređaja – kako bi prevarili žrtve da nesvjesno autentificiraju zlonamjerne sesije.
Aktivnost, koju je Expel primijetio kao dio phishing kampanje, pripisana je prijetnji pod nazivom PoisonSeed , koji je nedavno označen kao korisnik kompromitiranih vjerodajnica povezanih s alatima za upravljanje odnosima s klijentima (CRM) i pružateljima masovne e-pošte za slanje neželjenih poruka koje sadrže fraze za kriptovalute i pražnjenje digitalnih novčanika žrtava.
„Napadač to radi iskorištavanjem funkcija prijave na više uređaja dostupnih s FIDO ključevima“, rekli su istraživači Ben Nahorney i Brandon Overstreet . „Međutim, maliciozni hakeri u ovom slučaju koriste ovu funkciju u napadima tipa „protivnik u sredini“ (AitM).“
Ova tehnika ne funkcioniše u svim scenarijima. Posebno je usmjerena na korisnike koji se autentifikuju putem tokova na više uređaja koji ne primjenjuju stroge provjere blizine – kao što su Bluetooth ili atestiranje lokalnog uređaja. Ako korisničko okruženje nalaže hardverske sigurnosne ključeve direktno priključene u uređaj za prijavu ili koristi autentifikatore vezane za platformu (poput Face ID-a povezanog s kontekstom preglednika), lanac napada se prekida.
Prijava na više uređaja omogućava korisnicima da se prijave na uređaj koji nema šifru koristeći drugi uređaj koji sadrži kriptografski ključ, kao što je mobilni telefon.
Lanac napada koji je dokumentovao Expel počinje phishing e-poštom koja mami primaoce da se prijave na lažnu stranicu za prijavu koja imitira Okta portal preduzeća. Nakon što žrtve unesu svoje podatke za prijavu, lažna stranica prikriveno prenosi podatke za prijavu na pravu stranicu za prijavu.
Phishing stranica zatim daje instrukcije legitimnoj stranici za prijavu da koristi hibridnu transportnu metodu za autentifikaciju, što uzrokuje da stranica posluži QR kod koji se potom šalje natrag na phishing stranicu i prikazuje žrtvi.
Ukoliko korisnik skenira QR kod pomoću aplikacije za autentifikaciju na svom mobilnom uređaju, to omogućava napadačima da dobiju neovlašteni pristup računu žrtve.
“U slučaju ovog napada, maliciozni hakeri su unijeli ispravno korisničko ime i lozinku i zatražili prijavu na više uređaja”, rekao je Expel.
“Portal za prijavu prikazuje QR kod koji phishing stranica odmah snima i prenosi korisniku na lažnoj stranici. Korisnik ga skenira svojim MFA autentifikatorom, portal za prijavu i MFA autentifikator komuniciraju i napadači su unutra.”
Ono što ovaj napad čini značajnim jeste to što zaobilazi zaštite koje nude FIDO ključevi i omogućava prijetnjama pristup korisničkim računima. Metoda kompromitovanja ne iskorištava nijednu manu u FIDO implementaciji. Umjesto toga, zloupotrebljava legitimnu funkciju za smanjenje nivoa procesa autentifikacije.
Iako je FIDO2 dizajniran da se odupre phishingu, njegov tok prijave na više uređaja – poznat kao hibridni transport – može se zloupotrijebiti ako se ne provodi verifikacija blizine poput Bluetootha. U ovom toku, korisnici se mogu prijaviti na računaru skeniranjem QR koda mobilnim uređajem koji sadrži njihovu lozinku.
Međutim, napadači mogu presresti i prenijeti taj QR kod u stvarnom vremenu putem phishing stranice, prevarom navodeći korisnike da odobre autentifikaciju na lažnoj domeni. Ovo pretvara sigurnu funkciju u phishing rupu – ne zbog greške u protokolu, već zbog njene fleksibilne implementacije.
Expel je također saopštio da je primijetio zaseban incident u kojem je napadač registrovao vlastiti FIDO ključ nakon što je kompromitovao račun putem phishing e-pošte i resetovao korisničku lozinku.
Ako ništa drugo, nalazi naglašavaju potrebu za usvajanjem autentifikacije otporne na phishing u svim fazama životnog ciklusa računa, uključujući i tokom faza oporavka, jer korištenje metode autentifikacije koja je podložna phishingu može potkopati cijelu infrastrukturu identiteta.
„AitM napadi na FIDO ključeve i FIDO ključeve koje kontroliraju napadači samo su posljednji u dugom nizu primjera gdje malicizoni hakeri i security podižu ulog u borbi za kompromitiranje/zaštitu korisničkih računa“, dodali su istraživači.
Izvor:The Hacker News
