حمله فیشینگ PoisonSeed کلید امنیتی FIDO2 را دور می‌زند

یک کمپین فیشینگ با نام PoisonSeed در حال دور زدن محافظت‌های کلید امنیتی FIDO2 است.

به گزارش افتانا، کارزار فیشینگ PoisonSeed با سوءاستفاده از قابلیت احراز هویت بین‌دستگاهی (Cross-device Sign-in) در پروتکل WebAuthn موفق شده است تا حفاظت کلیدهای امنیتی FIDO2 را دور بزند و کاربران را فریب دهد تا درخواست‌های ورود جعلی را تأیید کنند.

مهاجمان این گروه به حملات فیشینگ در مقیاس وسیع برای کلاهبرداری مالی شهرت دارند و در گذشته ایمیل‌هایی حاوی عبارت‌های بازیابی (Seed Phrases) رمزارز ارسال می‌کردند تا کیف پول‌های دیجیتال قربانیان را خالی کنند.

بر اساس مشاهدات شرکت امنیتی Expel، این روش یک نقص امنیتی در FIDO2 نیست، بلکه سوءاستفاده از قابلیت قانونی آن است که احراز هویت را از سطح کلید فیزیکی به تأیید ساده موبایل تنزل می‌دهد .در احراز هویت بین‌دستگاهی، کاربر می‌تواند با یک دستگاه (مثلاً موبایل) درخواست احراز هویت روی دستگاه دیگر (مثلاً لپ‌تاپ) را تأیید کند. ارتباط بین دستگاه‌ها از طریق بلوتوث یا اسکن کد QR انجام می‌شود. مهاجمان، کاربر را به یک وب‌سایت جعلی هدایت می‌کنند که شبیه پورتال‌های شرکتی مثل Okta یا Microsoft 365 طراحی شده است. وقتی کاربر نام کاربری و رمز عبور را وارد می‌کند، مهاجمان با استفاده از سرور (AiTM) همان لحظه به وب‌سایت اصلی وارد می‌شوند. سپس مهاجم درخواست می‌دهد که احراز هویت به‌صورت بین‌دستگاهی انجام شود. پورتال اصلی یک کد QR تولید می‌کند که از طریق سایت جعلی به کاربر نمایش داده می‌شود و کاربر با اسکن این کد QR با گوشی یا اپ احراز هویت خود، عملاً ورود مهاجم را تأیید می‌کند.

در یک مورد دیگر نیز مهاجمان پس از سرقت حساب با فیشینگ و بازیابی رمز عبور، کلید FIDO جدیدی را بدون نیاز به ترفند QR به حساب اضافه کردند.

توصیه‌های Expel برای کاهش ریسک محدود کردن نواحی جغرافیایی مجاز برای ورود کاربران و ایجاد روند ثبت‌نام برای سفرهای کاری، بررسی مداوم برای شناسایی ثبت کلیدهای FIDO ناشناس یا مدل‌های غیرمعمول و در نظر گرفتن الزام بلوتوث برای احراز هویت بین‌دستگاهی برای کاهش امکان حمله از راه دور را شامل می‌شود.

این حمله نشان می‌دهد حتی روش‌های احراز هویت مقاوم در برابر فیشینگ هم در برابر ترفندهای مهندسی اجتماعی و فریب کاربر کاملاً نفوذناپذیر نیستند.