PoisonSeed: фишинговая кампания научилась обходить FIDO через QR-коды WebAuthn
Операторы фишинговой кампании PoisonSeed нашли способ обойти многофакторную аутентификацию FIDO, задействовав штатную функцию межустройственного входа WebAuthn. К такому выводу пришли аналитики Expel, исследовавшие серию атак на корпоративных пользователей Okta и Microsoft 365. Приём позволяет дистанционно авторизоваться без физического подключения ключа безопасности — достаточно, чтобы сотрудник отсканировал QR-код, показанный на поддельной странице входа.
Дорожка атаки классическая: письмо-приманка ведёт на сайт, копирующий корпоративный портал. Жертва вводит логин и пароль, после чего фишинговый сервер в режиме реального времени инициирует сеанс на настоящем ресурсе и запрашивает режим «вход с другого устройства». Легитимный сервис генерирует QR-код, который мгновенно отображается на фальшивом сайте. Сканируя его смартфоном или приложением-аутентификатором, пользователь сам подтверждает сессию, открыв для злоумышленника доступ к корпоративной сети, почте и облачному хранилищу.
Уязвимостью FIDO это не является: злоумышленники лишь понижают уровень защиты, переводя процесс в сценарий, не требующий USB-ключа или NFC-токена. Такой подход особенно опасен при работе удалённых сотрудников — географические ограничения и Bluetooth-проверка близости устройства заметно снижают шансы атаки.
Expel рекомендует компаниям включить геофильтрацию входов, вести журнал появления новых FIDO-ключей, отслеживать авторизации через QR-коды и обучать персонал проверять доменные имена перед вводом данных. Дополнительной мерой станет обязательное использование Bluetooth при межустройственной аутентификации: радиоканал подтверждает, что смартфон действительно находится рядом с рабочей станцией.
PoisonSeed известна с 2023 года массовыми рассылками криптовалютных seed-фраз с взломанных CRM-аккаунтов Mailchimp и HubSpot. Переход к обходу FIDO через WebAuthn показывает, что даже передовые методы MFA уязвимы к социальной инженерии и требуют комплексной защиты.
