Fido Keys’in cihazlar arası oturum açma özelliklerinden yararlanan ve bugün mevcut olan en güvenli çok faktörlü kimlik doğrulama formlarından birini etkili bir şekilde atlayan gelişmiş yeni bir siber saldırı tekniği ortaya çıktı.
Güvenlik araştırmacıları, saldırganların sosyal mühendislik taktikleri aracılığıyla donanım tabanlı kimlik doğrulama korumalarını nasıl atlatabileceğini gösteren zehir tohumu tehdidi grubuna atfedilen bu ortadaki düşman (AITM) saldırısını tespit ettiler.
Saldırı vektörü ve ilk uzlaşma
Saldırı, hileli e -postalar yoluyla kurumsal çalışanları hedefleyen geleneksel bir kimlik avı kampanyasıyla başlıyor.
Mağdurlar, organizasyonel markalaşma ve tanıdık kullanıcı arayüzü öğeleri ile tamamlanan meşru kimlik doğrulama portallarını yakından taklit eden sofistike sahte oturum açma sayfalarına yöneliktir.
Belgelenmiş vakalarda, saldırganlar Okta gibi kötü niyetli alanlar kaydetti[.]oturum açma[.]com, genellikle tespit sistemlerinden kaçmak için saldırıdan sadece günler önce yaratıldı.
Bu sahte kimlik doğrulama sayfaları, algılanan meşruiyetlerini artırmak ve potansiyel kurbanlar arasındaki şüpheyi azaltmak için Cloudflare gibi saygın içerik dağıtım ağlarından yararlanır.
Güvenilir altyapı hizmetlerinin kullanımı, güvenlik filtrelerini atlamak ve şüphesiz kullanıcılarla güvenilirlik oluşturmak için ortak bir taktiği temsil eder.
Aygıtlar arası kimlik doğrulama sömürüsü
Bu saldırının teknik karmaşıklığı, meşru FIDO anahtar cihazlar arası oturum açma işlevselliğini kötüye kullanmasında yatmaktadır.
Fido-korumalı hesapları olan kullanıcılar kimlik bilgilerini kimlik avı sitesine girdiğinde, kötü niyetli altyapı, bu çalınan kimlik bilgilerini aynı anda cihazlar arası oturum açma özellikleri talep ederken, bu çalıntı kimlik bilgilerini otomatik olarak gerçek kimlik doğrulama portalına aktarır.
Bu işlem, alternatif cihaz doğrulaması için bir QR kodu oluşturmak için meşru kimlik doğrulama sistemini tetikler.
Kimlik avı altyapısı bu otantik QR kodunu yakalar ve sahte giriş arayüzü aracılığıyla kurbana sunar.
Kullanıcılar QR kodunu mobil MFA kimlik doğrulayıcı uygulamalarıyla taradıklarında, saldırganlar için kimlik doğrulama sürecini yanlışlıkla tamamlar ve korunan hesaplara yetkisiz erişim sağlar.
Bu saldırıların arkasındaki tehdit grubu olan Poisonseed, öncelikle dijital cüzdanlardan kripto para hırsızlığına odaklanan büyük ölçekli kimlik avı kampanyaları yürütmek için bir üne kavuştu.
Bununla birlikte, bu FIDO anahtar baypas saldırılarında gösterilen teknikler, çeşitli hedef sektörlerde ve saldırı hedeflerinde daha geniş uygulama potansiyeli göstermektedir.
Bu tür saldırıların ortaya çıkması, siber suçlular ve siber güvenlik profesyonelleri arasındaki devam eden silah yarışında önemli bir artışı temsil eder ve premium kimlik doğrulama teknolojilerinin bile yaratıcı sosyal mühendislik yaklaşımları ile nasıl atlatılabileceğini vurgulamaktadır.
Güvenlik ekipleri bu saldırıları azaltmak için çeşitli koruyucu önlemler uygulayabilir.
Giriş girişimlerinde coğrafi kısıtlamalar, cihazlar arası kimlik doğrulaması için zorunlu Bluetooth yakınlık doğrulaması ve FIDO anahtar kayıtlarının kapsamlı denetim günlüğü ek güvenlik katmanları sağlar.
Kuruluşlar, birden fazla hızlı anahtar kayıtları ve beklenmedik konumlardan gelen cihazlar arası oturum açma istekleri dahil olmak üzere şüpheli kimlik doğrulama modellerini izlemelidir.
Fido Keys mevcut en güvenli kimlik doğrulama yöntemleri arasında kalırken, bu saldırı kullanıcı eğitimi ve kapsamlı güvenlik farkındalık eğitim programlarının kritik öneminin altını çizmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now