Эксперты компании Expel зафиксировали эволюцию фишинговой кампании PoisonSeed, операторы которой разработали изощренный метод обхода современной системы аутентификации FIDO2 с WebAuthn. Новая тактика использует штатную функцию межустройственной аутентификации, превращая защитный механизм в инструмент для проведения успешных атак.
Механизм атаки: злоупотребление легитимными функциями WebAuthn
В отличие от традиционных атак, направленных на поиск уязвимостей в системах безопасности, операторы PoisonSeed не эксплуатируют недостатки в протоколе FIDO. Вместо этого они мастерски используют встроенную возможность WebAuthn для аутентификации между различными устройствами.
Межустройственная аутентификация WebAuthn представляет собой удобную функцию, позволяющую пользователям авторизовываться на одном устройстве с помощью ключа безопасности или приложения-аутентификатора, находящегося на другом устройстве. Данный процесс осуществляется через Bluetooth-соединение или QR-код, исключая необходимость физического подключения ключа безопасности.
Детальный анализ схемы атаки PoisonSeed
Атака начинается с классического фишингового сценария: жертву перенаправляют на поддельный веб-сайт, имитирующий корпоративные порталы входа в популярные сервисы, такие как Okta или Microsoft 365. После ввода учетных данных злоумышленники в режиме реального времени используют полученную информацию для попытки входа на подлинный портал.
Ключевой момент атаки наступает, когда система требует подтверждения входа через FIDO-ключ. Фишинговый сервер инициирует процедуру входа с другого устройства, в результате чего легитимный портал генерирует QR-код. Этот код передается на поддельную страницу и демонстрируется ничего не подозревающей жертве.
Сканируя QR-код смартфоном или приложением-аутентификатором, пользователь фактически санкционирует вход, инициированный киберпреступниками. Таким образом происходит эффективный обход FIDO-защиты через механизм даунгрейда уровня безопасности.
Дополнительные векторы атак и их последствия
Исследователи Expel также документировали альтернативный сценарий атаки, при котором злоумышленники регистрируют собственный FIDO-ключ после первоначальной компрометации учетной записи жертвы. В данном случае отпадает необходимость в создании поддельных QR-кодов или дальнейшем взаимодействии с пользователем — процесс входа полностью контролируется атакующими.
Исторически кампания PoisonSeed специализировалась на финансовом мошенничестве, включая взлом корпоративных email-аккаунтов для распространения готовых seed-фраз криптокошельков среди потенциальных жертв.
Рекомендации по защите от межустройственных атак
Для минимизации рисков подобных атак специалисты по информационной безопасности рекомендуют внимательно проверять URL-адреса перед вводом учетных данных, особенно при работе с корпоративными порталами. Критически важно подтверждать запросы на аутентификацию только в случае личной инициации процесса входа.
Организациям следует рассмотреть возможность настройки политик безопасности, ограничивающих использование межустройственной аутентификации в критически важных системах. Регулярное обучение сотрудников принципам кибергигиены и актуальным методам социальной инженерии остается фундаментальным элементом корпоративной защиты.
Эволюция тактик киберпреступников демонстрирует необходимость постоянной адаптации защитных стратегий. Даже самые современные технологии аутентификации требуют осознанного подхода пользователей к обеспечению собственной цифровой безопасности. Понимание механизмов подобных атак позволяет организациям и индивидуальным пользователям эффективнее противостоять изощренным методам современных киберугроз.
