Нажали “войти иначе”? Поздравляем, вы сами отключили passkey и пустили фишера внутрь

фишинг passkey Entra ID авторизация Proofpoint пароль взлом
Нажали “войти иначе”? Поздравляем, вы сами отключили passkey и пустили фишера внутрь
фишинг passkey Entra ID авторизация Proofpoint пароль взлом

Один откат — и вся защита Entra ID превращается в стандартную атаку с кражей токенов.

image

Хотя система passkey рекламируется как способ входа без паролей, устойчивый к фишингу и безопасный по умолчанию, исследователи Proofpoint предупреждают: обойти такую защиту несложно. При определённых условиях злоумышленники могут принудительно переключить пользователя на устаревший и уязвимый способ авторизации — и тем самым свести на нет преимущества новой технологии.

Исследователи подчёркивают: наличие passkey не гарантирует безопасность, если аккаунт всё ещё позволяет входить с помощью логина и пароля. Именно на этом несовершенстве построена схема, которую Proofpoint описал и воспроизвёл в лабораторных условиях. В качестве примера приводится инфраструктура Microsoft Entra ID , где поддержка аутентификации по FIDO2 зависит от сочетания операционной системы, браузера и клиента. Так, например, попытка войти в аккаунт Microsoft через Safari на Windows или Firefox под Android приведёт к невозможности использовать ключ доступа — и автоматически вызовет откат к альтернативным методам входа.

Этим несоответствием и пользуются атакующие. Подменив user-agent, фишинговый сайт способен симулировать неподдерживаемую среду, в результате чего целевая система предложит переключиться на пароль с двухфакторной защитой — либо вовсе без неё. В отчёте подчёркивается: даже такой небольшой недочёт может быть использован для атак типа «человек посередине», особенно если задействовать специальные фреймворки.

В Proofpoint создали шаблон для фишлета — компонента комплекта фишинговых инструментов, — который позволяет эмулировать процесс авторизации, собирать учётные данные и перехватывать сессионные куки. Последний шаг особенно критичен: как только жертва проходит проверку поддельным способом, токен сеанса оказывается у атакующего. Импортировав его в браузер, злоумышленник получает доступ к учётной записи без ввода пароля или подтверждения.

Типичная атака начинается с вредоносной ссылки — она может быть в письме, SMS, PDF-файле или под видом запроса на OAuth-доступ . После перехода жертве показывается ошибка, которая побуждает выбрать альтернативный способ входа. В случае с Entra ID система предложит разные варианты, и если пользователь выберет любой поддерживаемый способ, включая одноразовый код или приложение, атака завершится успешно: данные будут захвачены, как при обычной краже учётки.

Хотя на момент публикации не зафиксировано активного применения этой техники в реальных атаках, риск остаётся. Злоумышленники обычно выбирают более простые цели, но сама возможность обхода passkey считается опасной и требует повышенного внимания. Уязвимыми оказываются не только сервисы Microsoft — любой механизм, где предусмотрена поддержка fallback-аутентификации, находится под угрозой.