خانه » حمله فیشینگ PoisonSeed با دور زدن احراز هویت FIDO2 از طریق کاهش سطح امنیت!
اخبار فیشینگ

حمله فیشینگ PoisonSeed با دور زدن احراز هویت FIDO2 از طریق کاهش سطح امنیت!

توسط Vulnerbyt_News
نوشته شده توسط Vulnerbyt_News 30 بازدید
Threat actors downgrade FIDO2 MFA auth in PoisonSeed phishing attack گروه والنربایت vulnerbyte

یک کمپین فیشینگ به نام PoisonSeed با سوءاستفاده از قابلیت ورود بین‌دستگاهی (cross-device sign-in) در WebAuthn، موفق به دور زدن محافظت‌های کلید امنیتی FIDO2 شده و کاربران را فریب می‌دهد تا درخواست‌های ورود جعلی را تأیید کنند. عاملان تهدید PoisonSeed به راه‌اندازی حملات فیشینگ در حجم بالا برای انجام کلاه‌برداری‌های مالی شهرت دارند. در گذشته، آن‌ها ایمیل‌هایی حاوی عبارت‌های بازیابی کیف‌پول ارز دیجیتال ارسال می‌کردند تا کیف‌پول‌های کاربران را تخلیه کنند.

در حمله‌ی فیشینگ جدیدی که توسط شرکت Expel مشاهده شده، مهاجمان PoisonSeed از یک نقص در امنیت FIDO2 سوءاستفاده نمی‌کنند، بلکه از قابلیت قانونی احراز هویت بین‌دستگاهی سوءاستفاده می‌کنند. احراز هویت بین‌دستگاهی قابلیتی در WebAuthn است که به کاربران اجازه می‌دهد در یک دستگاه با استفاده از کلید امنیتی یا اپ احراز هویت روی دستگاهی دیگر وارد شوند. به‌جای نیاز به اتصال فیزیکی (مثلا وصل کردن کلید امنیتی)، درخواست احراز هویت از طریق بلوتوث یا اسکن QR بین دو دستگاه منتقل می‌شود.

جزئیات حمله فیشینگ  PoisonSeed

این حمله با هدایت کاربر به یک سایت فیشینگ آغاز می‌شود که خود را به‌جای پورتال ورود سازمانی (مانند Okta یا Microsoft 365) جا می‌زند. وقتی کاربر نام‌کاربری و رمز عبورش را وارد می‌کند، کمپین از یک سیستم پشت‌صحنه‌ی “مهاجم در میانه ارتباط” (Adversary-in-the-Middle یا AiTM) استفاده می‌کند تا همزمان اطلاعات را در پورتال واقعی وارد کند. کاربر قربانی در حالت عادی از کلیدهای FIDO2 برای تأیید احراز هویت چندمرحله‌ای استفاده می‌کند؛ اما سیستم فیشینگ در پشت‌صحنه از پورتال واقعی درخواست می‌کند که از روش احراز هویت بین‌دستگاهی استفاده کند.

در نتیجه، پورتال واقعی یک کد QR تولید می‌کند و این کد به صفحه‌ی فیشینگ برگشت داده می‌شود و به کاربر نمایش داده می‌شود. وقتی کاربر این کد QR را با گوشی یا اپ احراز هویت خود اسکن می‌کند، ورود مهاجم را تأیید می‌کند.

Threat actors downgrade FIDO2 MFA auth in PoisonSeed phishing attack گروه والنربایت vulnerbyte
حمله PoisonSeed برای دور زدن محافظت‌های FIDO2

این روش عملا محافظت‌های FIDO2 را دور می‌زند، چون به مهاجم اجازه می‌دهد جریان ورود را آغاز کند به‌گونه‌ای که به‌جای کلید فیزیکی FIDO2، از احراز هویت بین‌دستگاهی استفاده شود. Expel هشدار می‌دهد که این حمله به‌دلیل یک نقص در پیاده‌سازی FIDO2 نیست، بلکه سوءاستفاده‌ای از یک قابلیت قانونی است که سطح امنیت را پایین می‌آورد.

توصیه‌های امنیتی

برای کاهش خطر، Expel اقدامات زیر را توصیه می‌کند:

  • محدود کردن مکان‌های جغرافیایی مجاز برای ورود کاربران و تعیین روند ثبت‌نام برای کسانی که سفر می‌کنند.
  • بررسی منظم برای شناسایی ثبت کلیدهای FIDO ناشناس از موقعیت‌ها یا برندهای غیرمعمول.
  • سازمان‌ها می‌توانند احراز هویت مبتنی بر بلوتوث را به‌عنوان الزام برای ورود بین‌دستگاهی تعیین کنند، که اثربخشی حملات فیشینگ از راه دور را به‌طور چشم‌گیری کاهش می‌دهد.

حمله دیگر

Expel همچنین به یک حادثه‌ی جداگانه اشاره می‌کند که در آن مهاجم پس از به‌دست آوردن حساب (احتمالا از طریق فیشینگ) و تنظیم مجدد رمز عبور، کلید FIDO خودش را ثبت کرد. با این‌که این حمله نیازی به فریب کاربر یا استفاده از کد QR نداشت؛ اما نشان می‌دهد که چنین سناریوهایی در حال وقوع هستند.

این حمله نشان می‌دهد که عاملان تهدید چطور راه‌هایی برای دور زدن احراز هویت مقاوم در برابر فیشینگ، آن هم با فریب دادن کاربران برای تکمیل فرآیند ورود بدون نیاز به تعامل فیزیکی با کلید امنیتی، پیدا کرده‌اند.

منابع:

https://www.bleepingcomputer.com/news/security/threat-actors-downgrade-fido2-mfa-auth-in-poisonseed-phishing-attack/

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.