Expel’deki güvenlik araştırmacıları, fiziksel fido (hızlı kimlik çevrimiçi) güvenlik anahtarlarının sunduğu korumayı ortadan kaldıran yeni bir kimlik avı tekniğini detaylandırdı. Anahtarların kendileri tavizsiz kalırken, saldırganlar kullanıcıları meşru bir cihazlar arası giriş özelliğini kötüye kullanarak erişim sağlama konusunda nasıl kandıracaklarını anladılar.
Saldırganların Fido Güvenlik Key’i kendisini kırmasına gerek yoktu. Bunun yerine, etrafta dolaşmak için sosyal mühendisliğe güveniyorlardı. Fido’yu daha kullanıcı dostu hale getirmeyi amaçlayan ve kurbana karşı kullanan cihazlar arası oturum açma özelliğinden yararlandılar.
QR kodu ve kimlik avı sayfası
Kullanıcının sahte bir giriş sayfasını ziyaret etmesi ve kimlik bilgilerini girmesiyle başlar. Saldırgan, bu ayrıntıları gerçek sitede gerçek bir oturum açma başlatmak için kullanır ve daha sonra bir QR kodu görüntüler. Kullanıcı, bu kodu görür ve MFA uygulamasıyla tarar, sadece saldırganın girişini onayladıklarını fark etmeden.
Kampanya, bir ekspel müşterisine karşı bir kimlik avı saldırısı sırasında tespit edildi. Kurbanlar, şirketin meşru portalını taklit eden sahte bir Okta giriş sayfasına çekildi. Kullanıcılar kimlik bilgilerine girdikten sonra, kimlik avı sitesi gerçek giriş sistemine geçti ve cihazlar arası oturum açtı.
Bu sistem daha sonra kimlik avı sitesinin ele geçirdiği ve kullanıcıya gösterdiği bir QR kodu görüntüledi. Mobil MFA uygulamasını kullanarak tarandığında, kullanıcı saldırganın oturumunu bilmeden onayladı.
Bu yaklaşım, normalde girişi tamamlamak için gerekli olan FIDO anahtarı ile fiziksel etkileşim ihtiyacını atlar. Ayrıca, saldırganların teknolojinin kendisini hackleyerek değil, onu kullanan insanları sömürerek en güvenli kimlik doğrulama sistemlerinde bile çalışmanın yeni yollarını nasıl bulmaya devam ettiğini de gösteriyor.
Zehirli tohum
Expel’in hackread.com ile paylaşılan raporuna göre, şirket, kimlik avı kampanyaları ve kripto para hırsızlığı ile bağlantılı bilinen bir tehdit oyuncusu olan saldırının arkasındaki grubun Poisonseed’den şüpheleniyor. Bu davadaki hedef muhtemelen hesap erişimi olmasına rağmen, aynı teknik diğer kimlik avı veya veri hırsızlığı türlerine uygulanabilir.
Expel ayrıca, saldırganların bir kullanıcının şifresini sıfırlamak için kimlik avı kullandıkları ve ardından kendi Fido anahtarlarını hesaba kaydettikleri ikinci bir olaya da atıfta bulundu. QR kodu yaklaşımından farklı olarak, bu ilk uzlaşmadan sonra kullanıcıyı daha da kandırmaya güvenmedi. Doğrudan bir devralma oldu.
Peki ne yapılabilir? Expel, beklenmedik konumlardan gelen girişler veya çoklu FIDO tuşlarının hızlı kaydı gibi olağandışı etkinlik için kimlik doğrulama günlüklerinin yakından incelemesini önerir. Coğrafi oturum açma izinlerini sınırlamak ve cihazlar arası kimlik doğrulaması için Bluetooth yakınlığı gerektiren riski azaltmak için etkili adımlardır.
J Stephenx, Slashnext’teki CTO stephen Kowski, bunun sistemde bir aksaklık olmadığını, bir özelliğin kasıtlı bir kötüye kullanımı olduğunu belirterek tartıldı. “Teknik akıllı çünkü Fido Keys’i daha kullanıcı dostu kılan meşru cihazlar arası oturum açma özelliğinden yararlanıyor” dedi ve saldırganların şimdi kırmaya çalışmak yerine güçlü kimlik doğrulama etrafında çalıştığını da sözlerine ekledi.