Bir kimlik avı kampanyası, yönetilen bir algılama ve yanıt (MDR) sağlayıcısının keşfettiği, cihazlar arası oturum açma özelliklerinden yararlanarak FIDO anahtar kimlik doğrulamasını atlıyor.
Expel tarafından bildirilen saldırı kampanyası, Fido Keys’lerde herhangi bir güvenlik açığı içermez, daha ziyade, ikinci bir cihaz kullanarak passey olmayan bir cihazda oturum açmalarını sağlayan kullanıcı rahatlığı için geliştirilen cihazlar arası oturum açma işlevinden yararlanır.
Fido Anahtar Saldırısı Kimlik Yardım E -postası ile Başlar
Saldırı, bir ekspel müşterisinde çalışanlara sahte bir giriş sayfasına yönlendirmeye çalışan bir kimlik avı e -postasıyla başladı. Bir kullanıcı Siteye kullanıcı adlarını ve şifrelerini girmeye kandırıldı, daha sonra bir QR kodu ile sunuldu.
Expel Blog, “Sahne arkasında olan kimlik avı sitesi, Fido Keys’in cihazlar arası oturum açma özelliğini kullanma isteğinin yanı sıra, kuruluşun meşru giriş portalına çalınan kullanıcı adı ve şifreyi otomatik olarak gönderdi” dedi.
Oturum açma portalı daha sonra kimlik avı sitesinin sahte sitede kullanıcıya geri döndüğü ve geri döndüğü bir QR kodu görüntüledi. Blog, “Kullanıcı bunu MFA kimlik doğrulayıcısı, oturum açma portalı ve MFA kimlik doğrulayıcısı iletişim kurarak tarar ve saldırganlar içeri giriyor” dedi.
Bu süreç, FIDO anahtar korumalarını etkili bir şekilde atladı. Saldırıda, zehirlenen kripto kimlik avı saldırısı grubuna atfedilen saldırıda daha fazla kötü niyetli faaliyet kanıtı yoktu, ancak Expel, güvenlik operasyon merkezinin (SOC) Fido Keys’i kötüye kullanmaya çalışan tehdit aktörlerinin gördüğü son dava olmadığını söyledi.
Muhtemelen bir kimlik avı e -postasıyla başlayan başka bir durumda, bir saldırgan “kullanıcının şifresini sıfırlayın ve daha sonra kendi Fido anahtarlarını hesap içine kaydetti.”
Fido anahtarlarını saldırıdan korumak
Fido Keys, “hesapları güvence altına almak söz konusu olduğunda hala değerli bir yatırım” dedi yazarlar, ancak Fido Keys’i hedefleyen saldırıların artışı, güvenlik ekiplerine izlemek için bir potansiyel tehdit daha veriyor – bazı olası kontroller Fido Keys’i daha iyi güvence altına almak için.
Olası kontroller, kullanıcıların giriş yapmasına izin verilen coğrafi konumların sınırlandırılmasını ve kullanıcıların farklı alanlara seyahat ettikleri zaman için bir kayıt süreci oluşturulmasını içerir.
Beklenmedik anahtarların veya beklenmedik anahtar markaların kaydı için izlenmesi, bir kullanıcı için birden fazla anahtar ve hızlı bir şekilde kayıtlı anahtarlar, potansiyel kötü niyetli etkinliğin diğer belirtileridir.
Araştırmacılar ayrıca, cihazlar arası oturum açma için bir ek güvenlik özelliği önerdi-bir MFA kimlik doğrulayıcısı olan bir mobil cihaz ve bir kullanıcının giriş yapmak istediği kayıtsız bir cihaz arasında Bluetooth iletişimi gerektiriyor.
Blog, “Bu etkili bir şekilde, kullanıcının QR kodunu tararken portala giriş yapan sistemde olması gerektiği anlamına geliyor” dedi. “Bu özelliğin etkinleştirilmesi, saldırganların bu AITM kimlik avı saldırısını neredeyse sıfıra kullanma şansını azaltacak.”