Ваш аккаунт не в безопасности: Хакеры научились взламывать FIDO-ключи с помощью QR-кодов!

Эксперты по кибербезопасности обнаружили опасную схему, позволяющую хакерам обходить защиту Fast IDentity Online (FIDO) ключей. Мошенники обманывают пользователей, заставляя их подтвердить вход через подделанные корпоративные страницы авторизации.

Специалисты Expel в реальной фишинговой кампании зафиксировали активность группировки PoisonSeed. Ранее эти злоумышленники уже были замечены в использовании похищенных данных из CRM-систем и сервисов рассылок — для рассылки спама с криптовалютными seed-фразами и кражи цифровых кошельков.

«Преступники эксплуатируют функцию входа с другого устройства, которую поддерживают FIDO-ключи», — говорят аналитики Бен Нахорни и Брэндон Оверстрит. — «Теперь её используют для атак по принципу „человек посередине“».

С помощью этой технологии можно пройти авторизацию на одном устройстве, даже если там нет ключа — например, через смартфон, где такой криптографический ключ уже сохранён.

Expel подробно описал схему взлома: всё начинается с поддельного письма, ведущего пользователя на фейковый портал, скопировавший корпоративную страницу Okta. Введённые данные сразу отправляются мошенникам, которые используют их для входа на настоящий корпоративный сайт.

Затем жертву просят перейти на настоящий портал Okta, где инициируется вход с использованием гибридного способа, после чего появляется QR-код. Хакеры перехватывают этот QR-код, отправляют его обратно на свой фишинговый сайт и показывают жертве.

Если пользователь сканирует этот QR-код через приложение-аутентификатор на смартфоне, злоумышленники тут же получают доступ к его аккаунту.

«Во время атаки преступники уже знают правильный логин и пароль и инициируют вход с другого устройства», — объясняют в Expel.

«Портал отображает QR-код, а фишинговый сайт перехватывает его и пересылает жертве. Когда пользователь сканирует код в приложении для двухфакторной аутентификации, между порталом и устройством происходят обмен данными — и мошенники в итоге получают доступ».

Главная опасность такого подхода — в том, что защита FIDO-ключами фактически перестаёт работать. Хакерам не нужны уязвимости или баги: они просто используют штатную функцию системы, снижая уровень безопасности — и пользователь даже не замечает подвоха.

FIDO-ключи должны защищать пользователя от фишинга за счёт привязки аутентификации к конкретному сайту. Но если QR-код можно передать между устройствами и сайтами, эта система перестаёт работать. Преступники используют этот слепой момент, когда пользователь не проверяет, куда на самом деле отправляется запрос, — и защита рушится без каких-либо очевидных признаков взлома.

Эксперты Expel также описали ещё один инцидент: после удачного фишинга хакер регистрировал собственный FIDO-ключ, сбрасывал пароль владельца и полностью захватывал учётную запись.

Это исследование показывает: только стойкая к фишингу аутентификация на всех этапах работы с аккаунтом способна по-настоящему защитить пользователя. Особенно важно тщательно контролировать процессы восстановления доступа — ведь любая уязвимость на этом этапе может разрушить всю систему защиты.

«Атаки „человек посередине“ на FIDO-ключи и регистрация новых ключей со стороны злоумышленников — это лишь начало новой гонки между хакерами и специалистами по безопасности за контроль над аккаунтами пользователей», — предупреждают эксперты.

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь

Также подписывайтесь на нас в:

• Telegram: https://t.me/gergenshin
• Youtube: https://www.youtube.com/@gergenshin
• Яндекс Дзен: https://dzen.ru/gergen
• Официальный сайт: https://www-genshin.ru