São Paulo — InkDesign News — Pesquisadores de segurança da Expel revelaram uma nova técnica de phishing que contorna a proteção oferecida por chaves de segurança FIDO (Fast Identity Online). Os atacantes utilizam engenharia social para burlar o autenticação, explorando uma função legítima de login entre dispositivos.
Incidente e vulnerabilidade
A técnica começa com o usuário acessando uma página de login falsa e inserindo suas credenciais. Os atacantes utilizam essas informações para iniciar um login real no site verdadeiro, que então exibe um código QR. O usuário, ao escanear o código com seu aplicativo de MFA, aprova sem saber a sessão do invasor. Esse ataque foi identificado durante uma campanha de phishing contra um cliente da Expel, onde os usuários foram atraídos para um login falso da Okta.
Impacto e resposta
Esse método permite que os atacantes evitem a interação física com a chave FIDO, que normalmente seria necessária para completar o login. De acordo com o relatório da Expel, o grupo por trás do ataque é conhecido como PoisonSeed, com histórico em campanhas de phishing e roubo de criptomoedas. Além disso, a Expel narrava um segundo incidente onde atacantes utilizaram phishing para redefinir a senha de um usuário e então registrar sua própria chave FIDO na conta, resultando em uma tomada direta da conta.
“Esse não é um erro no sistema, é um uso deliberado indevido de uma funcionalidade. A técnica é engenhosa porque explora a legítima função de login entre dispositivos que torna as chaves FIDO mais amigáveis ao usuário.”
(“This isn’t a glitch in the system, it’s a deliberate misuse of a feature. The technique is clever because it exploits the legitimate cross-device sign-in feature that makes FIDO keys more user-friendly.”)— J Stephen Kowski, Field CTO, SlashNext
Mitigações recomendadas
A Expel sugere que as organizações revisem atentamente os logs de autenticação em busca de atividade incomum, como logins de locais inesperados ou registro rápido de múltiplas chaves FIDO. Limitar permissões de login geográficas e exigir proximidade via Bluetooth para autenticação entre dispositivos são estratégias eficazes para reduzir o risco. Além disso, é crucial implementar treinamentos contínuos sobre segurança para conscientizar usuários sobre a engenharia social.
“Os atacantes estão agora contornando a autenticação forte em vez de tentar quebrá-la.”
(“Attackers are now working around strong authentication rather than trying to break it.”)— J Stephen Kowski, Field CTO, SlashNext
Embora a técnica atual seja sofisticada, os riscos residuais continuam, exigindo vigilância constante e melhorias nas defesas. As próximas etapas incluem a avaliação de sistemas existentes e a atualização de políticas de segurança para fortalecer a imunidade contra esses vetores de ataque.
Fonte: (Hack Read – Segurança Cibernética)
