Включили FIDO2 для защиты — облегчили работу хакерам: парадокс современной безопасности

фишинг FIDO2 безопасность QR-код аутентификация PoisonSeed атака
Включили FIDO2 для защиты — облегчили работу хакерам: парадокс современной безопасности
фишинг FIDO2 безопасность QR-код аутентификация PoisonSeed атака

Многофакторка в деле. Один фактор — ты, второй — твоя наивность.

image

Киберпреступники из группы PoisonSeed научились обходить защиту FIDO2 , не взламывая саму технологию, а хитро используя одну из её легальных функций — вход с другого устройства. Благодаря этому приёму злоумышленники добиваются того, чтобы жертвы сами подтверждали доступ, думая, что авторизуются в корпоративной системе.

Как выяснила компания Expel, в этой фишинговой кампании атакующие создают фальшивые страницы входа, маскируясь под корпоративные порталы Microsoft 365 или Okta. Когда пользователь вводит логин и пароль, система атакующего в реальном времени авторизуется на настоящем сайте от имени жертвы. Следующим шагом должно быть подтверждение входа с помощью FIDO2-ключа, но вместо этого задействуется функция кросс-устройственного входа.

Эта функция позволяет подтвердить вход на одном устройстве с помощью другого — например, с телефона, не подключая физически ключ. Запрос передаётся через Bluetooth или в виде QR-кода. Именно QR-код и становится уязвимостью . Фальшивый портал показывает сгенерированный настоящим сайтом код жертве. Та, ничего не подозревая, сканирует его с телефона, тем самым одобряя вход, запущенный злоумышленником.

Таким образом, защита с физическим ключом фактически отключается. Хотя сама система FIDO2 не скомпрометирована, её архитектурные особенности позволяют использовать законную функцию как средство обхода.

Специалисты советуют ограничивать географию возможных входов, внимательно отслеживать регистрацию новых ключей и по возможности требовать Bluetooth-аутентификацию при входе с другого устройства — это снижает шансы на успешную атаку. В одном из зафиксированных случаев злоумышленник даже зарегистрировал собственный ключ FIDO после сброса пароля и получил полный доступ без участия жертвы.

Этот случай снова показывает, что даже самые продвинутые технологии защиты можно обойти не техническими средствами, а социальной манипуляцией и точным расчётом поведения пользователя. Как отмечают эксперты в области кибербезопасности, многофакторная аутентификация хороша, но недостаточна для полной защиты от современных атак.