Tin tặc qua mặt xác thực đa yếu tố FIDO bằng kỹ thuật lừa đảo mới

Bản thân giao thức FIDO vẫn chưa bị xâm phạm, nhưng các nhà nghiên cứu tại Expel cho biết kẻ tấn công đã phát hiện ra một phương pháp để “hạ cấp” các biện pháp bảo vệ FIDO, bằng cách lợi dụng tính năng đăng nhập đa thiết bị (cross-device sign-in) hợp pháp, cho phép người dùng đăng nhập từ một thiết bị (ví dụ máy tính để bàn) bằng cách sử dụng thiết bị khác (như thiết bị di động chứa khóa thông tin đăng nhập FIDO). Chiến dịch lừa đảo của các tin tặc PoisonSeed lợi dụng phương thức này và sử dụng mã QR để truy cập trái phép.

Chuỗi tấn công PoisonSeed vượt qua khóa FIDO bắt đầu bằng một email lừa đảo. Theo đó, kẻ tấn công gửi email và dụ nạn nhân truy cập vào đường link, từ đó họ được chuyển hướng đến một trang đăng nhập giả mạo cổng thông tin Okta. Sau khi người dùng đăng nhập tên và mật khẩu, trang web lừa đảo sẽ gửi thông tin đăng nhập bị đánh cắp đó đến dịch vụ xác thực thật và yêu cầu đăng nhập trên nhiều thiết bị, từ đó khởi tạo mã QR cho nạn nhân.

Mã QR ngay lập tức được hiển thị trên trang web lừa đảo, đánh lừa nạn nhân quét mã bằng ứng dụng xác thực di động và khiến họ nghĩ rằng đó là một phần của quy trình đăng nhập thông thường. Sau khi quét, hệ thống hợp pháp liên kết thiết bị di động với phiên do kẻ tấn công kiểm soát và trao quyền truy cập vào các ứng dụng, tài liệu, dịch vụ được bảo vệ. “Đây là một diễn biến đáng lo ngại, vì khóa FIDO thường được coi là một trong những giải pháp xác thực đa yếu tố an toàn”, Expel cho biết.

Nhà nghiên cứu Soroko của Expel giải thích, cuộc tấn công lừa đảo khá tinh vi khi sao chép mã QR từ hệ thống xác thực hợp pháp gửi trở lại nạn nhân, đánh lừa họ quét mã và hoàn thành đăng nhập thông qua FIDO, trong khi khóa bảo mật vật lý của họ vẫn chưa được sử dụng. Thủ thuật tinh vi này cho phép kẻ tấn công truy cập mà không cần quyền truy cập khóa thực.

Các tổ chức có thể giảm thiểu tác động của kỹ thuật này bằng cách vô hiệu hóa tính năng đăng nhập đa thiết bị nếu không cần thiết, đảm bảo cấu hình đúng tên miền xác thực, giám sát các khóa đăng ký, thiết lập cảnh báo khi có thiết bị xác thực mới được thêm vào tài khoản, đặc biệt cần chú ý đào tạo nâng cao nhận thức của người dùng về kỹ thuật lừa đảo qua mã QR cũng như các cuộc tấn công kỹ nghệ xã hội khác.

Expel cho biết cơ sở hạ tầng đằng sau trang lừa đảo được lưu trữ trên các tên miền mới đăng ký thông qua Cloudflare, điều này có thể giúp tránh sự nghi ngờ của người dùng. Trong một sự cố được quan sát, kẻ tấn công không chỉ khởi tạo một phiên hợp lệ mà còn đăng ký khóa FIDO của riêng chúng để duy trì quyền truy cập mà không cần phải đánh lừa người dùng lần nữa.

Mặc dù sự cố đã được ngăn chặn nhanh chóng, nhưng hậu quả để lại vẫn rất nghiêm trọng. “Không có lỗ hổng nào trong FIDO bị khai thác trực tiếp. Thế nhưng sự kết hợp giữa email lừa đảo, mã QR và quy trình đăng nhập hợp pháp đã tạo ra một con đường tấn công khá tinh vi", Expel nhấn mạnh.