PoisonSeed использует межустройственную авторизацию WebAuthn для обхода FIDO-ключей
Исследователи компании Expel зафиксировали новую волну кампании PoisonSeed, в которой злоумышленники научились обходить многофакторную аутентификацию FIDO, задействовав штатный механизм входа с другого устройства в протоколе WebAuthn. Жертва остается уверена, что подтверждает собственный сеанс, а на деле открывает дверь злоумышленникам, уже получившим её логин и пароль.
Сценарий начинается с фишинговой ссылки на поддельный портал Okta или Microsoft 365. Как только пользователь вводит учётные данные, фишинговый сервер в реальном времени инициирует вход на настоящем корпоративном ресурсе. Чтобы обойти требование физически подключить FIDO-ключ, атакующие переключают процесс на кросс-девайс аутентификацию: портал генерирует QR-код, тот мгновенно проксируется на поддельную страницу, а дальше всё решает привычное кинестетическое движение — сканирование смартфоном. Одобрение запроса приводит к тому, что настоящий сервис считает вход легитимным, а мошенники получают полный доступ к аккаунту.
Важно подчеркнуть, что уязвимости в стандартах FIDO или WebAuthn нет: эксплуатируется легальная возможность подтверждать вход удалённо, что фактически понижает уровень защиты. В отдельном инциденте, описанном Expel, злоумышленник и вовсе зарегистрировал собственный FIDO-ключ после компрометации пароля и обошёл защиту без участия пострадавшего.
PoisonSeed уже известна массовыми рассылками seed-фраз для криптовалютных кошельков через скомпрометированные CRM и сервисы e-mail-маркетинга. Переход к атакам на корпоративные системы аутентификации подтверждает эволюцию группировки от простой социальной инженерии к точечным операциям против бизнеса.
Эксперты советуют компаниям ограничивать географию допуска, внимательно отслеживать появление новых FIDO-ключей из необычных локаций и, при возможности, требовать Bluetooth-канал для межустройственной авторизации — тогда удалённый фишинг с QR-кодом становится куда менее эффективным. Пользователям же остаётся главное правило: даже при виде привычного QR-кода нужно проверить, кто именно запрашивает доступ и совпадает ли домен в браузере с официальным.