Egyszerű, de zseniális trükk
A csalás során a felhasználót egy olyan adathalász oldalra irányítják, amely megszólalásig hasonlít valódi vállalati portálokhoz – például az Okta vagy a Microsoft 365 (Microsoft 365) bejelentkezési felületeihez. Miután az áldozat megadja a belépési adatait, egy úgynevezett „köztes támadó” (adversary-in-the-middle) szerver azonnal továbbítja azokat a jogos felületre. Normális esetben itt FIDO2 kulccsal kellene azonosítania magát a felhasználónak, ekkor azonban a támadók átváltanak eszközök közötti azonosításra: a rendszer QR-kódot generál, amit visszaküldenek az adathalász oldalra.
Így csapják be az áldozatot
Az áldozat a QR-kódot saját telefonjával vagy hitelesítő alkalmazásával beolvassa, mit sem sejtve arról, hogy valójában ezzel a támadónak ad jóváhagyást a valódi bejelentkezéshez. Így megkerülhető, hogy fizikailag is jelen kelljen lennie a FIDO2 biztonsági kulcsnak. Az eljárás nem a FIDO2 gyengeségét használja ki, hanem egy teljesen legitim funkciót fordít vissza a felhasználó ellen.
Védekezési lehetőségek
A szakemberek szerint kulcsfontosságú korlátozni, hogy honnan, milyen földrajzi helyekről lehet bejelentkezni, illetve érdemes külön engedélyezési folyamatot előírni utazók számára. Folyamatosan ellenőrizni kell az ismeretlen FIDO kulcsok regisztrációját is. A Bluetooth-alapú azonosítás kötelezővé tétele jelentős védelmet nyújt. Egy másik hasonló támadás során a csalók már be is regisztrálták saját FIDO kulcsukat egy korábban megszerzett fiókba – itt már az áldozat trükközése nélkül is sikerrel jártak.
Új módszerek, új veszélyek
A PoisonSeed támadás megmutatja, hogy a csalók még a legbiztonságosabbnak tartott, adathalászat ellen védett technológiákat is képesek úgy manipulálni, hogy végül maga a felhasználó teszi lehetővé a támadást. Az eset bizonyítja: a digitális védelemben minden új kényelmi funkcióban ott rejlik egy újabb sebezhetőség.
