Cybersicherheitsexperten von Expel haben eine besorgniserregende Weiterentwicklung der PoisonSeed-Phishing-Kampagne dokumentiert. Die Angreifer haben eine ausgeklügelte Methode entwickelt, um die als sicher geltende FIDO2-Authentifizierung mit WebAuthn zu umgehen. Besonders alarmierend ist dabei, dass keine Sicherheitslücken im FIDO-Protokoll selbst ausgenutzt werden, sondern vielmehr eine legitime Funktion der geräteübergreifenden Authentifizierung missbraucht wird.
Innovative Angriffstechnik: Missbrauch der Cross-Device-Authentifizierung
Die PoisonSeed-Kampagne unterscheidet sich grundlegend von herkömmlichen Cyberangriffen, die auf das Ausnutzen von Schwachstellen in Sicherheitssystemen abzielen. Stattdessen nutzen die Angreifer geschickt eine eingebaute WebAuthn-Funktion aus, die ursprünglich für mehr Benutzerfreundlichkeit konzipiert wurde.
Die geräteübergreifende Authentifizierung ermöglicht es Nutzern normalerweise, sich auf einem Gerät anzumelden, während der Sicherheitsschlüssel oder die Authentifizierungs-App auf einem anderen Gerät liegt. Dieser Prozess funktioniert über Bluetooth-Verbindungen oder QR-Codes und eliminiert die Notwendigkeit einer physischen Verbindung des Sicherheitsschlüssels.
Anatomie des PoisonSeed-Angriffs: Schritt-für-Schritt-Analyse
Der Angriff beginnt mit einem klassischen Phishing-Szenario: Opfer werden auf gefälschte Websites umgeleitet, die bekannte Unternehmensportale wie Okta oder Microsoft 365 imitieren. Nach der Eingabe der Anmeldedaten nutzen die Cyberkriminelle diese Informationen in Echtzeit für Anmeldeversuche auf den echten Plattformen.
Der entscheidende Moment tritt ein, wenn das System eine FIDO-Schlüssel-Verifizierung anfordert. Der Phishing-Server initiiert eine Anmeldung von einem anderen Gerät, wodurch das legitime Portal einen QR-Code generiert. Dieser Code wird an die gefälschte Seite weitergeleitet und dem ahnungslosen Opfer angezeigt.
Durch das Scannen des QR-Codes mit dem Smartphone oder der Authentifizierungs-App autorisiert der Benutzer unwissentlich die von den Cyberkriminellen initiierte Anmeldung. Dies führt zu einem effektiven Bypass der FIDO-Sicherheit durch einen Security-Downgrade-Mechanismus.
Erweiterte Angriffsvektoren und Persistenz-Strategien
Die Expel-Forscher haben zusätzlich einen alternativen Angriffsverlauf dokumentiert, bei dem Cyberkriminelle nach der initialen Kompromittierung eines Benutzerkontos ihre eigenen FIDO-Schlüssel registrieren. Diese Methode eliminiert die Notwendigkeit für weitere gefälschte QR-Codes oder Benutzerinteraktionen, da die Angreifer vollständige Kontrolle über den Anmeldeprozess erlangen.
Historisch betrachtet spezialisierte sich die PoisonSeed-Kampagne auf Finanzbetrug, einschließlich der Kompromittierung von Unternehmens-E-Mail-Konten zur Verbreitung von Kryptowallet-Seed-Phrasen an potenzielle Opfer.
Präventionsmaßnahmen gegen Cross-Device-Angriffe
Zur Minimierung der Risiken solcher Angriffe empfehlen Cybersicherheitsexperten eine sorgfältige Überprüfung von URLs vor der Eingabe von Anmeldedaten, insbesondere bei Unternehmensportalen. Es ist kritisch wichtig, Authentifizierungsanfragen nur dann zu bestätigen, wenn der Anmeldeprozess persönlich initiiert wurde.
Organisationen sollten die Konfiguration von Sicherheitsrichtlinien in Betracht ziehen, die die Nutzung der geräteübergreifenden Authentifizierung in kritischen Systemen einschränken. Regelmäßige Schulungen der Mitarbeiter zu Cyber-Hygiene-Prinzipien und aktuellen Social-Engineering-Methoden bleiben ein fundamentaler Baustein der Unternehmenssicherheit.
Die Evolution der Cyberkriminellen-Taktiken verdeutlicht die Notwendigkeit einer kontinuierlichen Anpassung von Verteidigungsstrategien. Selbst modernste Authentifizierungstechnologien erfordern einen bewussten Ansatz der Nutzer zur Gewährleistung ihrer digitalen Sicherheit. Das Verständnis der Mechanismen solcher Angriffe ermöglicht es Organisationen und Einzelnutzern, den raffinierten Methoden moderner Cyber-Bedrohungen effektiver zu begegnen.
