PoisonSeedのフィッシングキャンペーンは、WebAuthnのクロスデバイスサインイン機能を悪用してFIDO2セキュリティキー保護を回避し、ユーザーを騙して偽の企業ポータルからのログイン認証要求を承認させている。
PoisonSeedの脅威者は、金融詐欺を目的とした大量のフィッシング攻撃を行うことで知られています。過去には、暗号通貨のウォレットから資金を流出させるために、暗号シードのフレーズを含む電子メールを配信していました。
Expelが観測した最近のフィッシング攻撃では、PoisonSeedの脅威行為者はFIDO2のセキュリティの欠陥を悪用するのではなく、むしろ正当なクロスデバイス認証機能を悪用している。
クロスデバイス認証はWebAuthnの機能であり、ユーザーがあるデバイス上で別のデバイス上のセキュリティキーまたは認証アプリを使用してサインインすることを可能にする。セキュリティ・キーを差し込むといった物理的な接続を必要とする代わりに、認証リクエストはBluetoothまたはQRコードのスキャンを介してデバイス間で送信される。
この攻撃は、まずユーザーをOktaやMicrosoft 365などの企業のログインポータルになりすましたフィッシングサイトに誘導する。
ユーザーがポータルに認証情報を入力すると、このキャンペーンは中間者攻撃(AiTM)バックエンドを使用し、送信された認証情報で正規のログインポータルにリアルタイムでサイレントにログインします。
この攻撃でターゲットにされたユーザーは通常、FIDO2セキュリティキーを使用して多要素認証リクエストを検証する。しかし、フィッシング・バックエンドはその代わりに、正規のログイン・ポータルにクロスデバイス認証を使用して認証するよう指示する。
これにより、正規のポータルはQRコードを生成し、このQRコードはフィッシング・ページに送信され、ユーザーに表示される。
ユーザーがスマートフォンや認証アプリを使ってこのQRコードをスキャンすると、攻撃者が開始したログイン試行が承認される。
Source:Expel
この方法は、攻撃者がユーザーの物理的なFIDO2キーの代わりにクロスデバイス認証に依存するログインフローを開始できるようにすることで、FIDO2セキュリティキーの保護を効果的に回避します。
Expelは、この攻撃はFIDO2実装の欠陥を悪用するものではなく、FIDOキー認証プロセスをダウングレードする正当な機能を悪用するものであると警告している。
リスクを軽減するために、Expelは以下の防御策を推奨している:
- ユーザーのログインを許可する地理的な場所を制限し、旅行する個人の登録プロセスを確立する。
- 不明な場所からの不明なFIDO鍵の登録や、一般的でないセキュリティ鍵ブランドの登録を定期的にチェックする。
- 組織は、クロスデバイス認証の要件としてBluetoothベースの認証を強制することを検討することができ、これによりリモートフィッシング攻撃の有効性を大幅に低減することができる。
Expelはまた、フィッシングと思われる方法でアカウントを侵害し、パスワードをリセットした後に、脅威者が自身のFIDOキーを登録した別のインシデントも観測している。しかし、この攻撃にはQRコードのようなユーザーを騙す方法は必要なかった。
この攻撃は、セキュリティ・キーとの物理的な相互作用の必要性をバイパスするログイン・フローを完了するようにユーザーをだますことによって、脅威行為者がいかにフィッシング耐性認証をバイパスする方法を見つけているかを浮き彫りにしている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
ダミーのためのクラウド検知と対応
新たな脅威がビジネスに影響を及ぼす前に、リアルタイムで対処します。
この実用的でナンセンスなガイドで、クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。
Comments