- Uma campanha de phishing vista tentando trabalhar em torno das chaves fido
- O recurso “Cross-Device Sign-in” desencadeia um código QR
- Os bandidos podem retransmitir o código QR para ignorar o MFA e fazer login
Os hackers encontraram uma maneira de roubar credenciais de login, mesmo para contas protegidas com chaves físicas de identidade rápida (FIDO). Ele gira em torno de um fallback criado nessas soluções de autenticação de vários fatores (MFA) e só funciona em determinados cenários.
As teclas FIDO são pequenos autenticadores físicos ou de software, que usam tecnologia criptográfica para registrar os usuários com segurança em sites e aplicativos. Eles servem como autenticador multifatorial, impedindo que os cibercriminosos que já obtiveram credenciais de login acessem as contas direcionadas.
Para usar o autenticador, na maioria das vezes os usuários precisam interagir fisicamente com o dispositivo. Em alguns cenários, no entanto, há um mecanismo de substituição – digitalizando um código QR. Os criminosos começaram a usar esse fallback nos chamados ataques adversários no meio (AITM).
Phishing para códigos QR
Observados pelos pesquisadores de segurança expulsos, os ataques começam com o e -mail usual de phishing.
Isso leva as vítimas a uma página de destino que imita a aparência do processo de autenticação normal da empresa, incluindo um logotipo da OKTA e campos de login para nome de usuário e senha.
Normalmente, depois de inserir as credenciais de login, o usuário precisaria interagir fisicamente com a tecla Fido. Nesse caso, no entanto, o usuário recebe um código QR.
Isso ocorre porque, em segundo plano, os invasores usaram as credenciais de login e solicitaram “assinatura cruzada”, que acionou o fallback do código QR. Se a vítima examinar o código QR, o portal de login e o autenticador do MFA se comunicam e os atacantes efetuam login com sucesso.
A melhor maneira de se defender contra esse ataque é ativar as verificações de proximidade do Bluetooth no FIDO, para que os códigos QR funcionem apenas na digitalização do telefone, está fisicamente perto do computador do usuário.
Como alternativa, as empresas devem educar seus funcionários sobre como identificar páginas suspeitas de login e códigos QR inesperados, pois esta página de destino maliciosa pode ser facilmente vista olhando para o URL e o domínio.
Por fim, as equipes de TI devem auditar logs de autenticação para logins estranhos baseados em QR, ou novos registros do FIDO, que podem servir como um indicador de compromisso.
Via The Hacker News
Você também pode gostar
Deixe um comentário
Você precisa fazer o login para publicar um comentário.
Fique conectado