Az új trükk: így verik át a FIDO2 kulcsot a hackerek
A PoisonSeed nevű kiberbűnözői csoport legújabb módszere már a FIDO2 biztonsági kulcsokat is kijátssza – méghozzá azzal, hogy a WebAuthn rendszer eszközök közötti bejelentkezési funkcióját használja ki. Ezzel a támadók sikeresen csapják be az óvatlan áldozatokat, akik végül maguk hagyják jóvá a hamis bejelentkezési kérelmeket.
Egyszerű, de zseniális trükk
A csalás során a felhasználót egy olyan adathalász oldalra irányítják, amely megszólalásig hasonlít valódi vállalati portálokhoz – például az Okta vagy a Microsoft 365 (Microsoft 365) bejelentkezési felületeihez. Miután az áldozat megadja a belépési adatait, egy úgynevezett „köztes támadó” (adversary-in-the-middle) szerver azonnal továbbítja azokat a jogos felületre. Normális esetben itt FIDO2 kulccsal kellene azonosítania magát a felhasználónak, ekkor azonban a támadók átváltanak eszközök közötti azonosításra: a rendszer QR-kódot generál, amit visszaküldenek az adathalász oldalra.
Így csapják be az áldozatot
Az áldozat a QR-kódot saját telefonjával vagy hitelesítő alkalmazásával beolvassa, mit sem sejtve arról, hogy valójában ezzel a támadónak ad jóváhagyást a valódi bejelentkezéshez. Így megkerülhető, hogy fizikailag is jelen kelljen lennie a FIDO2 biztonsági kulcsnak. Az eljárás nem a FIDO2 gyengeségét használja ki, hanem egy teljesen legitim funkciót fordít vissza a felhasználó ellen.
A szakemberek szerint kulcsfontosságú korlátozni, hogy honnan, milyen földrajzi helyekről lehet bejelentkezni, illetve érdemes külön engedélyezési folyamatot előírni utazók számára. Folyamatosan ellenőrizni kell az ismeretlen FIDO kulcsok regisztrációját is. A Bluetooth-alapú azonosítás kötelezővé tétele jelentős védelmet nyújt. Egy másik hasonló támadás során a csalók már be is regisztrálták saját FIDO kulcsukat egy korábban megszerzett fiókba – itt már az áldozat trükközése nélkül is sikerrel jártak.
Új módszerek, új veszélyek
A PoisonSeed támadás megmutatja, hogy a csalók még a legbiztonságosabbnak tartott, adathalászat ellen védett technológiákat is képesek úgy manipulálni, hogy végül maga a felhasználó teszi lehetővé a támadást. Az eset bizonyítja: a digitális védelemben minden új kényelmi funkcióban ott rejlik egy újabb sebezhetőség.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz arról, hogy a kényelmi funkciók gyakran gyengítik a biztonságot?
Ha te lennél áldozat, milyen jeleket keresnél, hogy felismerj egy ilyen trükköt?
Szerinted mennyire etikus az, ha egy rendszer hibáit így használják ki?
Tipikus eset, amikor egy ismert gyógyszer egészen váratlan előnyöket kínál. A GLP-1 típusú szerek, mint az Ozempic, a Wegovy vagy a Rybelsus, eredetileg a fogyás, a jobb vércukorszint-szabályozás és a szívbetegségek kockázatának csökkentése miatt váltak népszerűvé...
Indiai kutatók a világ eddigi legrészletesebb, háromdimenziós agytörzs-atlaszát hozták létre, amelyben MRI-felvételeket több mint 500 mikroszkópos szövetrészlettel kapcsoltak össze...
Többek között különleges eredményre jutottak a kutatók: a Tejútrendszer középpontjához közel egy óriási gázfelhőben felfedeztek egy ritka cukorfélét, az eritrózt, amely nemcsak málnában, hanem barnító krémekben is megtalálható...
Ami kezdetben ártalmatlannak tűnt, most minden régi T-Mobile-előfizető számára valódi változás: a társaság e héttől kezdve automatikusan átsorolja a 10–15 éves tarifákat – például a Simple Choice, T-Mobile One, One Plus, a Magenta családhoz tartozó, valamint a Sprintből áthozott régi csomagokat – modernebb tarifákra...
A legnagyobb kriptovaluták teljesítménye az elmúlt 24 órában jelentősen visszaesett, miután egyre többen valószínűsítik, hogy az amerikai jegybank akár már júliusban kamatemelés mellett dönt...
🤔 A mesterséges intelligencia kutatása 75 éve követi Alan Turing útmutatását, aki két alapvető feltételezést tett: az intelligencia létrehozható szoftverből, függetlenül a testtől, és hogy egy gép intelligensnek számít, ha sikerrel utánozni tudja az embert, például egy beszélgetés során...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Monthly Dystopia (iPhone/iPad)A Monthly Dystopia egy túlélő játék, amelyet George Orwell 1984 című műve inspirált...
Jellemző példa erre, hogy több mint 200 közgazdász – köztük Nobel-díjasok, számítástechnikai szakértők és nagy techcégek (például a Google vagy az OpenAI) vezetői – nyílt levélben figyelmeztet: a jelenlegi intézmények nincsenek felkészülve a mesterséges intelligencia okozta gyors gazdasági átalakulás kezelésére...
Az amerikai kiberbiztonsági hivatal riasztást adott ki, mert támadók kihasználják a népszerű Joomla rendszeren futó iCagenda és Balbooa Forms bővítményeinek sérülékenységeit...
🚗 Különösen igaz ez akkor, ha valaki Kaliforniában vásárolna elektromos autót. Miközben az USA legtöbb államában jelentősen visszaestek az elektromos járművek eladásai, Kalifornia újabb lendületet ad a tiszta közlekedésnek: minden új elektromos autó vásárlója mostantól akár 1,3 millió forintos (3 500 USD) támogatást kap...
A csillagászok váratlan felfedezést tettek: a málnában is megtalálható eritrióz cukrot kimutatták a Tejútrendszer középpontja közelében lévő gázfelhőben...