Fuente: Hackread.com – Autor: Waqas. Los investigadores de seguridad en Expel han detallado una nueva técnica de phishing que evita la protección que ofrece las claves de seguridad FISIC FIDO (Identity Identity Online). Mientras que las claves en sí no se comprometen, los atacantes han descubierto cómo engañar a los usuarios para que otorgue el acceso al hacer mal uso de una función de inicio de sesión legítima de los dispositivos cruzados. Los atacantes no necesitaban romper la llave de seguridad Fido en sí. En cambio, confiaron en la ingeniería social para evitarlo. Aprovecharon la función de inicio de sesión entre dispositivos, que está destinado a hacer que Fido sea más fácil de usar, y la usó contra la víctima. Código QR y página de phishing Comienza con el usuario visitando una página de inicio de sesión falsa e ingresando sus credenciales. El atacante usa esos detalles para iniciar un inicio de sesión real en el sitio real, que luego muestra un código QR. El usuario ve ese código y lo escanea con su aplicación MFA, sin darse cuenta de que acaba de aprobar el inicio de sesión del atacante. La campaña fue vista durante un ataque de phishing contra un cliente expulsado. Las víctimas fueron atraídas a una página falsa de inicio de sesión de Okta que imitaba el portal legítimo de la compañía. Una vez que los usuarios ingresaron sus credenciales, el sitio de phishing los pasó al sistema de inicio de sesión real y solicitaron un inicio de sesión entre dispositivos. Ese sistema luego mostró un código QR, que el sitio de phishing capturó y mostró al usuario. Cuando se escanea usando su aplicación MFA móvil, el usuario sin saberlo aprobó la sesión del atacante. Este enfoque evita la necesidad de interacción física con la tecla FIDO, que normalmente se requeriría para completar el inicio de sesión. También muestra cómo los atacantes continúan encontrando nuevas formas de trabajar incluso en los sistemas de autenticación más seguros, no pirateando la tecnología misma, sino explotando a las personas que lo usan. La envenenada de acuerdo con el informe de Expel compartido con Hackread.com, la compañía sospecha que el grupo detrás del ataque es envenenado, un actor de amenaza conocido vinculado a campañas de phishing y robo de criptomonedas. Aunque el objetivo en este caso era probablemente acceso a la cuenta, la misma técnica podría aplicarse a otros tipos de phishing o robo de datos. Expel también hizo referencia a un segundo incidente en el que los atacantes usaron phishing para restablecer la contraseña de un usuario y luego registraron su propia clave FIDO a la cuenta. A diferencia del enfoque del código QR, este no dependía de engañar al usuario más después del compromiso inicial. Fue una adquisición directa. Flujo de ataque (a través de expel) Entonces, ¿qué se puede hacer? Expel recomienda revisar de cerca los registros de autenticación para una actividad inusual, como inicios de sesión de ubicaciones inesperadas o registro rápido de múltiples claves FIDO. Limitar los permisos de inicio de sesión geográfico y requerir la proximidad de Bluetooth para la autenticación de los dispositivos cruzados también son pasos efectivos para reducir el riesgo. J Stephen Kowski, CTO de campo en SlashNext, intervino señalando que esto no es un problema técnico en el sistema, es un mal uso deliberado de una característica. «La técnica es inteligente porque explota la característica legítima de inicio de sesión entre dispositivos que hace que las teclas Fido sean más fáciles de usar», dijo, y agregó que los atacantes ahora están trabajando en una fuerte autenticación en lugar de tratar de romperlo. URL de publicación original: https://hackread.com/poisonseed-trick-users-bypassing-fido-keys-qr-codes/category & etiquetas: seguridad, estafa de phishing, ataque cibernético, ciberseguridad, expulsar, fido2, fraude, phishing, privacidad, scam, seguridad-seguridad, estafa, ciber Ataque, ciberseguridad, expulsar, fido2, fraude, phishing, privacidad, estafa, seguridad