PoisonSeed钓鱼活动通过滥用WebAuthn的跨设备登录功能,绕过FIDO2安全密钥保护,诱使用户在虚假企业门户上批准登录认证请求。
PoisonSeed威胁行为者以大规模钓鱼攻击进行金融诈骗而闻名。过去,他们通过发送包含加密货币助记词的邮件来窃取数字钱包资产。
Expel近期观察到的此次钓鱼攻击中,PoisonSeed攻击者并未利用FIDO2安全机制的漏洞,而是滥用其合法的跨设备认证功能。
跨设备认证是WebAuthn的一项特性,允许用户通过在另一设备上的安全密钥或认证应用完成登录,而无需物理连接,如插入安全密钥,认证请求通过蓝牙或二维码扫描在设备间传输。
攻击过程始于将用户引导至冒充Okta或Microsoft 365等企业登录门户的钓鱼网站。当用户在门户输入凭据时,攻击者利用中间人(AiTM)后端,实时悄无声息地使用提交的凭据登录真实门户。
受害用户通常会使用FIDO2安全密钥验证多因素认证请求,但钓鱼后端告知真实门户使用跨设备认证,导致门户生成二维码并返回给钓鱼页面展示给用户。
当用户使用智能手机或认证应用扫描该二维码时,即自动批准了攻击者发起的登录尝试。
这种攻击方法通过让攻击者发起依赖跨设备认证的登录流程,而非用户的实体FIDO2安全密钥,从而有效绕过了FIDO2安全密钥的保护。
Expel警告称,该攻击并未利用FIDO2实现中的漏洞,而是滥用了一个合法功能,导致FIDO密钥认证过程被降级。
为降低风险,Expel建议采取以下防御措施:
限制用户允许登录的地理位置,并为出差人员建立注册流程;
定期检查来自未知地点和不常见安全密钥品牌的未知FIDO密钥注册情况;
组织可考虑强制要求跨设备认证必须使用基于蓝牙的认证方式,这将显著降低远程钓鱼攻击的有效性。
Expel还观察到另一事件,攻击者在通过疑似钓鱼手段攻破账户并重置密码后,注册了自己的FIDO密钥,该攻击无需通过二维码等方式欺骗用户。
此次攻击凸显了威胁行为者通过诱导用户完成绕过实体安全密钥物理交互的登录流程,来规避抗钓鱼认证的手段。
