Neue Angriffsmethode umgeht FIDO-Schlüssel durch QR-Phishing

LONDON (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es immer wieder neue Herausforderungen, die sowohl Unternehmen als auch Einzelpersonen betreffen. Eine kürzlich entdeckte Angriffsmethode zeigt, wie Angreifer FIDO-Schlüssel umgehen können, indem sie legitime Funktionen ausnutzen.

Die Sicherheitsforscher von Expel haben eine neue Angriffsmethode aufgedeckt, die es Bedrohungsakteuren ermöglicht, die Schutzmechanismen von Fast IDentity Online (FIDO) Schlüsseln zu umgehen. Diese Methode nutzt legitime Funktionen wie die geräteübergreifende Anmeldung aus, um Benutzer dazu zu bringen, Authentifizierungsanfragen von gefälschten Unternehmensportalen zu genehmigen.

FIDO-Schlüssel sind Hardware- oder Software-basierte Authentifikatoren, die Phishing verhindern sollen, indem sie Anmeldungen an spezifische Domains binden. In diesem Fall nutzen Angreifer eine legitime Funktion aus, um Opfer dazu zu bringen, unwissentlich bösartige Sitzungen zu authentifizieren. Diese Aktivität wurde von Expel im Rahmen einer Phishing-Kampagne beobachtet und einem Bedrohungsakteur namens PoisonSeed zugeschrieben.

Die Angreifer nutzen die geräteübergreifende Anmeldefunktion, die mit FIDO-Schlüsseln verfügbar ist, um sogenannte Adversary-in-the-Middle (AitM) Angriffe durchzuführen. Diese Technik funktioniert nicht in allen Szenarien, sondern zielt speziell auf Benutzer ab, die sich über geräteübergreifende Flows authentifizieren, die keine strengen Näheprüfungen erzwingen.

Der Angriff beginnt mit einer Phishing-E-Mail, die die Empfänger dazu verleitet, sich auf einer gefälschten Anmeldeseite anzumelden, die das Okta-Portal des Unternehmens imitiert. Sobald die Opfer ihre Anmeldedaten eingegeben haben, werden diese Informationen heimlich von der gefälschten Seite an die echte Anmeldeseite weitergeleitet. Die Phishing-Seite fordert dann die echte Anmeldeseite auf, die hybride Transportmethode für die Authentifizierung zu verwenden, was dazu führt, dass die Seite einen QR-Code bereitstellt, der anschließend an die Phishing-Seite gesendet und dem Opfer präsentiert wird.

Wenn der Benutzer den QR-Code mit der Authentifizierungs-App auf seinem mobilen Gerät scannt, ermöglicht dies den Angreifern, unbefugten Zugriff auf das Konto des Opfers zu erhalten. Diese Methode umgeht die Schutzmaßnahmen von FIDO-Schlüsseln und ermöglicht es Bedrohungsakteuren, auf Benutzerkonten zuzugreifen. Der Kompromiss nutzt keine Schwachstelle in der FIDO-Implementierung aus, sondern missbraucht eine legitime Funktion, um den Authentifizierungsprozess herabzustufen.

Während FIDO2 darauf ausgelegt ist, Phishing zu widerstehen, kann der geräteübergreifende Anmeldeflow missbraucht werden, wenn keine Näheüberprüfung wie Bluetooth erzwungen wird. In diesem Flow können Benutzer sich auf einem Desktop anmelden, indem sie einen QR-Code mit einem mobilen Gerät scannen, das ihren Passkey enthält. Angreifer können diesen QR-Code in Echtzeit über eine Phishing-Seite abfangen und weiterleiten, um Benutzer dazu zu bringen, die Authentifizierung auf einer gefälschten Domain zu genehmigen.

Expel beobachtete auch einen separaten Vorfall, bei dem ein Bedrohungsakteur seinen eigenen FIDO-Schlüssel registrierte, nachdem er ein Konto über eine Phishing-E-Mail kompromittiert und das Passwort des Benutzers zurückgesetzt hatte. Diese Erkenntnisse unterstreichen die Notwendigkeit, phishingsichere Authentifizierung in allen Phasen des Kontolebenszyklus zu übernehmen, einschließlich der Wiederherstellungsphasen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!