PoisonSeed kampány
A PoisonSeed kampány célja, hogy átverje azokat a felhasználókat, akik FIDO2 biztonsági kulcsot használnak – tipikusan Okta vagy Microsoft 365 fiókok védelmére. A támadás első lépése egy hamis bejelentkező oldal, egy, a Cloudflare-en keresztül hostolt kamu domain, ahol a felhasználó megadja felhasználónevét és jelszavát. Ezek azonnal továbbítódnak a valódi portálra, amely így generálja a QR-kódot a több eszközt használó bejelentkezéshez.
A phishing oldalon ugyanaz a QR-kód megjelenik a felhasználónak, aki a beolvasással megerősíti a belépési kérést a mobil hitelesítő applikációjával. Ezzel lényegében a támadó mögé csatlakozott a valódi belépési folyamatba, mivel a QR-kód az eredeti hitelesítő szerverről származik és teljes értékű session-t biztosít. A fizikai FIDO-kulcs használata így teljesen kimarad, tehát nem sérül annak titkosítása – de a session-támogatást átjátszva elérhetővé válik a fiók.
A támadás nem protokollhiba, hanem a cross-device funkció visszaélése, a támadók nem törtek fel titkos kulcsokat, csak felhasználják a QR-alapú hitelesítő munkameneteket. Ez a technika tulajdonképpen Downgrade attack – a funkciót társadalmi mérnökséggel gyalázzák meg, nem technikai sebezhetőséggel.
Expel a támadót PoisonSeed néven azonosította, aki korábban kriptotárca-csalásokban is érintett volt. Ez a módszer lehetővé teszi, hogy FIDO-val védett környezeteket is kompromittáljanak – egy kis QR-kódos social engineering révén.
