В новой фишинговой кампании PoisonSeed злоумышленники
Ссылка скрыта от гостей
обойти протокол FIDO2 с использованием WebAuthn, злоупотребляя легитимной функцией аутентификации между устройствами. Эксперты из компании Expel выявили, что атакующие убеждают жертв подтвердить вход на фальшивых корпоративных порталах, не эксплуатируя уязвимости, а используя штатные механизмы.Кампания PoisonSeed, ориентированная на финансовое мошенничество, ранее включала взлом корпоративных email-аккаунтов для рассылки seed-фраз криптокошельков. Теперь хакеры перенаправляют пользователей на поддельные сайты, имитирующие Okta или Microsoft 365. После ввода учетных данных фишинговый сервер в реальном времени пытается войти на настоящий портал.
Вместо прямого использования FIDO-ключа атакующие инициируют вход через "другое устройство". Легитимный портал генерирует QR-код, который передается на фишинговую страницу и показывается жертве. Сканируя код смартфоном или аутентификатором, пользователь невольно одобряет вход злоумышленников, обходя физическое подключение ключа via USB или Bluetooth.
Исследователи подчеркивают: это не уязвимость FIDO, а даунгрейд защиты через удаленную аутентификацию. В отчете Expel описан и другой инцидент — регистрация собственного FIDO-ключа после компрометации аккаунта, позволяющая полный доступ без взаимодействия с жертвой.
