PoisonSeed, QR Kodlarıyla Kullanıcıları FIDO Tuşlarını Atlatmaya Kandırıyor

Expel'deki güvenlik araştırmacıları, fiziksel FIDO (Hızlı Çevrimiçi Kimlik) güvenlik anahtarlarının sağladığı korumayı aşan yeni bir kimlik avı tekniğini ayrıntılarıyla anlattı. Anahtarların kendileri henüz ele geçirilmemiş olsa da, saldırganlar meşru bir cihazlar arası oturum açma özelliğini kötüye kullanarak kullanıcıları kandırarak erişim izni vermenin bir yolunu buldular.

Saldırganların FIDO güvenlik anahtarını kırmasına gerek yoktu. Bunun yerine, bunu aşmak için sosyal mühendisliğe başvurdular. FIDO'yu daha kullanıcı dostu hale getirmeyi amaçlayan cihazlar arası oturum açma özelliğinden yararlandılar ve bunu kurbana karşı kullandılar.

QR Kod ve Kimlik Avı Sayfası

Kullanıcının sahte bir giriş sayfasını ziyaret edip kimlik bilgilerini girmesiyle başlar. Saldırgan, bu bilgileri kullanarak gerçek sitede gerçek bir giriş başlatır ve ardından bir QR kodu görüntülenir. Kullanıcı bu kodu görür ve saldırganın girişini onayladığını fark etmeden MFA uygulamasıyla tarar.

Kampanya, bir Expel müşterisine yönelik bir kimlik avı saldırısı sırasında tespit edildi. Mağdurlar, şirketin meşru portalını taklit eden sahte bir Okta giriş sayfasına yönlendirildi. Kullanıcılar kimlik bilgilerini girdikten sonra, kimlik avı sitesi onları gerçek giriş sistemine yönlendirdi ve cihazlar arası oturum açma talebinde bulundu.

Sistem daha sonra kimlik avı sitesinin yakalayıp kullanıcıya gösterdiği bir QR kodu gösterdi. Mobil MFA uygulaması kullanılarak tarandığında, kullanıcı farkında olmadan saldırganın oturumunu onaylamış oldu.

Bu yaklaşım, normalde oturum açma işlemini tamamlamak için gereken FIDO anahtarıyla fiziksel etkileşim ihtiyacını ortadan kaldırır. Ayrıca, saldırganların en güvenli kimlik doğrulama sistemlerini bile, teknolojinin kendisini hackleyerek değil, onu kullanan kişileri istismar ederek aşmanın yeni yollarını bulmaya devam ettiğini de gösterir.

Expel'in Hackread.com ile paylaştığı rapora göre şirket, saldırının arkasındaki grubun, kimlik avı kampanyaları ve kripto para hırsızlığıyla bağlantılı bilinen bir tehdit unsuru olan PoisonSeed olduğundan şüpheleniyor. Bu vakadaki amaç muhtemelen hesap erişimi olsa da, aynı teknik diğer kimlik avı veya veri hırsızlığı türlerine de uygulanabilir.

Expel ayrıca, saldırganların kimlik avı kullanarak bir kullanıcının şifresini sıfırlayıp ardından kendi FIDO anahtarlarını hesaba kaydettikleri ikinci bir olaya da değindi. QR kod yaklaşımının aksine, bu yaklaşım ilk ihlalden sonra kullanıcıyı daha fazla kandırmaya dayanmıyordu. Doğrudan bir ele geçirmeydi.

Peki ne yapılabilir? Expel, beklenmedik konumlardan oturum açma veya birden fazla FIDO anahtarının hızlı kaydı gibi olağandışı etkinlikler için kimlik doğrulama günlüklerinin dikkatlice incelenmesini öneriyor. Coğrafi oturum açma izinlerini sınırlamak ve cihazlar arası kimlik doğrulama için Bluetooth yakınlığı gerektirmek de riski azaltmak için etkili adımlardır.

SlashNext Saha CTO'su J. Stephen Kowski , bunun sistemdeki bir aksaklık değil, bir özelliğin kasıtlı olarak kötüye kullanılması olduğunu belirterek konuya değindi. "Bu teknik akıllıca çünkü FIDO anahtarlarını daha kullanıcı dostu hale getiren meşru cihazlar arası oturum açma özelliğini kullanıyor," diyen Kowski, saldırganların artık güçlü kimlik doğrulamayı kırmaya çalışmak yerine bu özelliğin etrafından dolaştıklarını da sözlerine ekledi.