Експерти з кібербезпеки компанії Expel виявили тривожну еволюцію в тактиці кіберзлочинців. Оператори фішингової кампанії PoisonSeed розробили витончений спосіб обходу сучасної системи аутентифікації FIDO2 з технологією WebAuthn. Унікальність цієї атаки полягає в тому, що зловмисники не шукають вразливості в системі безпеки, а використовують штатні функції для досягнення своїх цілей.
Як працює обхід WebAuthn: використання міжпристроївої аутентифікації
Традиційно кіберзлочинці намагаються знайти слабкі місця в протоколах безпеки або експлуатувати технічні вразливості. Однак оператори PoisonSeed обрали кардинально інший підхід – вони майстерно використовують вбудовану можливість WebAuthn для аутентифікації між різними пристроями.
Міжпристроїва аутентифікація WebAuthn – це зручна функція, яка дозволяє користувачам авторизуватися на одному пристрої за допомогою ключа безпеки або додатка-аутентифікатора з іншого пристрою. Процес здійснюється через Bluetooth-з’єднання або QR-код, що виключає потребу в фізичному підключенні ключа безпеки до комп’ютера.
Покрокова схема атаки PoisonSeed
Атака починається з класичного фішингового сценарію: жертву перенаправляють на підроблений веб-сайт, який імітує корпоративні портали входу популярних сервісів, таких як Okta або Microsoft 365. Після введення облікових даних зловмисники в режимі реального часу використовують отриману інформацію для спроби входу на справжній портал.
Критичний момент атаки настає, коли система вимагає підтвердження входу через FIDO-ключ. Фішинговий сервер ініціює процедуру входу з іншого пристрою, внаслідок чого легітимний портал генерує QR-код. Цей код передається на підроблену сторінку та демонструється нічого не підозрюючій жертві.
Сканування QR-коду смартфоном або додатком-аутентифікатором фактично означає санкціонування входу, ініційованого кіберзлочинцями. Таким чином відбувається ефективний обхід FIDO-захисту через механізм зниження рівня безпеки.
Альтернативні вектори атак та їх наслідки
Дослідники Expel також задокументували альтернативний сценарій атаки, коли зловмисники реєструють власний FIDO-ключ після первинної компрометації облікового запису жертви. У цьому випадку відпадає необхідність у створенні підроблених QR-кодів – процес входу повністю контролюється атакуючими.
Історично кампанія PoisonSeed спеціалізувалася на фінансовому шахрайстві, включаючи злом корпоративних email-акаунтів для поширення готових seed-фраз криптогаманців серед потенційних жертв.
Стратегії захисту від міжпристроївих атак
Для мінімізації ризиків подібних атак фахівці з інформаційної безпеки рекомендують ретельно перевіряти URL-адреси перед введенням облікових даних, особливо при роботі з корпоративними порталами. Критично важливо підтверджувати запити на аутентифікацію лише у випадку особистої ініціації процесу входу.
Організаціям слід розглянути можливість налаштування політик безпеки, що обмежують використання міжпристроївої аутентифікації в критично важливих системах. Регулярне навчання співробітників принципам кібергігієни та актуальним методам соціальної інженерії залишається фундаментальним елементом корпоративного захисту.
Еволюція тактик кіберзлочинців демонструє необхідність постійної адаптації захисних стратегій. Навіть найсучасніші технології аутентифікації потребують свідомого підходу користувачів до забезпечення власної цифрової безпеки. Розуміння механізмів подібних атак дозволяє організаціям та індивідуальним користувачам ефективніше протистояти витонченим методам сучасних кіберзагроз.
