Siber suç, sahtekarlık yönetimi ve siber suç, çok faktörlü ve riske dayalı kimlik doğrulama
Poisonse Tehdit Tehdit Oyuncusu, kullanıcıları kandırmak için cihazlar arası giriş özelliği ve QR kodu kullanıyor
Prajeet Nair (@prajeaetspeaks) •
19 Temmuz 2025
Expel araştırmacıları, daha önce büyük ölçekli kripto para hırsızlıklarına bağlı bir siber suç grubu olan Poisonseed tarafından kullanılan yeni bir düşman phsish avlama tekniği buldular ve en güvenli multifaktör kimlik doğrulaması-FIDO2 fiziksel anahtarlarından biri.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
FIDO protokolünün kendisi tavizsiz kalırken, bir rapordaki araştırmacıları, kullanıcıların FIDO kimlik bilgilerine kayıtlı eşlik eden bir mobil cihaz kullanarak yeni bir sistemden giriş yapmalarını sağlayan meşru bir cihazlar arası oturum açma özelliğinden yararlanarak FIDO korumalarını “düşürmenin” bir yolunu keşfettiğini söyledi. Poisonseed’in kimlik avı kampanyası bu süreçten yararlanır ve yetkisiz erişimi kolaylaştıran QR kodlarını kullanır.
“Donanım ve kriptografi sağlam kalıyor, ancak etraflarındaki kolaylık özellikleri size karşı döndürülebilir.”
– Jason, Kıdemli Üyesi, Sectigo
FIDO2 Güvenlik Anahtarları – Çevrimiçi Hizmetler için Şifresiz Kimlik Doğrulamayı Sağlayan Fiziksel Cihazlar – Kimlik Yardımı, SIM Switing ve SMS veya E -posta Tabanlı MFA’da bulunan diğer zayıflıkların ortaya koyduğu tehditlere karşı koymak için tasarlanmıştır.
Ancak zehir tohumu saldırı zinciri, kimlik avı e -postasıyla başlayarak Fido anahtarını atlar. Mağdurlar, kuruluşun Okta portalını taklit eden sahte bir giriş sayfasına yönlendirilir. Kullanıcılar kullanıcı adlarını ve şifrelerini girdikten sonra, kimlik avı bu çalıntı kimlik bilgilerini gerçek kimlik doğrulama hizmetine gönderir ve oluşturulması için bir QR kodunu tetikleyen bir cihazlar arası oturum açar.
Bu QR kodu hemen kimlik avı sitesinde görüntülenir ve kurbanı mobil kimlik doğrulayıcı uygulamalarıyla taramaya alıp, normal oturum açma sürecinin bir parçası olduğunu düşünür. Tanıdıktan sonra, meşru sistem mobil cihazı saldırgan kontrollü oturumla ilişkilendirir ve korunan uygulamalara, belgelere ve hizmetlere etkin bir şekilde erişir.
Expel’in güvenlik operasyonları ekibi, “Bu, Fido Keys’in genellikle güvenli çok faktörlü kimlik doğrulamasının zirvelerinden biri olarak kabul edildiği göz önüne alındığında, ilgili bir gelişmedir.” Dedi. Diyerek şöyle devam etti: “Bu saldırı, kötü bir aktörün kurulu bir Fido anahtarının etrafında nasıl bir son rout çalıştırabileceğini gösteriyor.”
Sectigo Kıdemli Üyesi Jason Soroko, kimlik avı saldırısının gerçek kimlik doğrulama sisteminden kurbanlara geri döndüğünü, onları taramaya ve Fido Mücadelesini tamamlamaya yönelik bir QR kodunu akıllıca yansıttığını söyledi. Bu el, saldırganın gerçek anahtara dokunmadan erişim kazanmasına izin verdi.
Soroko, “Donanım ve kriptografi sağlam kalıyor, ancak etraflarındaki kolaylık özellikleri size karşı döndürülebilir.” Dedi. “Savunucular, mümkünse cihazlar arası oturum açarak devre dışı bırakarak bu tekniği azaltabilir, Bluetooth yakınlık kontrollerini uygular, beklenmedik önemli kayıtların ve coğrafyaların izlenmesi ve bir şifre girişinden sonra herhangi bir QR istemini olası bir tuzak olarak tedavi etmek için personelin izlenmesi.”
Exel, kimlik avı sayfasının arkasındaki altyapının Cloudflare aracılığıyla yeni kayıtlı alanlarda barındırıldığını ve kullanıcı şüphesinden kaçınmaya yardımcı olan bir meşruiyet havası eklediğini söyledi. Gözlenen bir olayda, saldırganlar sadece geçerli bir oturum başlatmayı değil, aynı zamanda kullanıcıları tekrar kandırmaya gerek kalmadan erişim için kendi Fido anahtarlarını da kaydettirdi.
“En iyi savunmalar bile yeterli sosyal mühendislik ve yaratıcılıkla süpürülebilir.”
– Araştırmacılar
Olay hızla içerilmiş olsa da, sonuçlar çok geniş. “Fido’da hiçbir güvenlik açığı doğrudan sömürülmedi.” Dedi. “Ancak kimlik avı, QR kodları ve meşru oturum açma iş akışlarının birleşimi en az direniş yolu yarattı.”
Güvenlik ekiplerinin beklenmedik cihazlar arası oturum açma etkinliği, tanıdık olmayan Fido anahtar kayıtları veya anormal coğrafi konumlar için kimlik doğrulama günlüklerini izlemeleri önerilir. Expel ayrıca, cihazlar arası oturum açıcıları sırasında Bluetooth doğrulamasının etkinleştirilmesini ve kullanıcıların giriş sırasında fiziksel olarak sistemin yakınında olmalarını sağlar.
“Saldırganlar kimlik ve oturum yönetimini hedeflemede acımasızdır.” Dedi. “Bu taktik, en iyi savunmaların bile yeterli sosyal mühendislik ve yaratıcılıkla süpürülebileceğini kanıtlıyor.”
Bu gelişmelere rağmen, Exel, Fido Keys’in, kuruluşların düzenli olarak kullanımı denetlediği ve saldırganların tekniklerini geliştirmeye devam ettikçe potansiyel kör noktaları anladığı sürece hala güçlü bir kimlik doğrulama biçimi olduğunu söyledi.