<div id="post_message_804481">

Операторы фишинговой кампании PoisonSeed <a href="https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/" target="_blank">нашли способ</a> обхода FIDO (в данном случае — FIDO2 с WebAuthn), используя механизм аутентификации между устройствами, реализованный в WebAuthn. Злоумышленники убеждают жертв подтвердить запросы на вход, поступающие с фальшивых корпоративных порталов.<br/>
<br/>
Напомним, что кампания PoisonSeed строится на фишинге, конечной целью которого является финансовое мошенничество. Так, в прошлом злоумышленники взламывали корпоративные учетные записи для email-маркетинга и <a href="https://xakep.ru/2025/04/07/poisonseed/" target="_blank">рассылали </a>пользователям письма с готовыми seed-фразами для криптокошельков.<br/>
<br/>
В новых атаках, замеченных экспертами из компании Expel, злоумышленники не используют уязвимость в механизмах FIDO, а злоупотребляют легитимной функцией аутентификации между устройствами.<br/>
<br/>
Эта функция WebAuthn позволяет пользователю авторизоваться на одном устройстве, используя ключ безопасности или приложение-аутентификатор на другом. Вместо физического подключения ключа (например, через USB), запрос на аутентификацию передается посредством Bluetooth или через QR-код.<br/>
<br/>
Новые атаки PoisonSeed начинаются с перенаправления жертвы на фишинговый сайт, имитирующий корпоративный портал для входа в Okta или Microsoft 365. После ввода учетных данных жертвы фишинговая инфраструктура в реальном времени использует эти данные для входа на настоящий портал.<br/>
<br/>
В обычной ситуации жертве пришлось бы подтвердить вход с помощью своего FIDO-ключа. Однако в этой схеме фишинговый сервер инициирует вход через механизм входа с другого устройства. В результате настоящий портал генерирует QR-код, который передается на фишинговую страницу и показывается жертве.<br/>
<br/>
Когда пользователь сканирует этот QR-код своим смартфоном или приложением-аутентификатором, по сути, он одобряет вход, инициированный злоумышленниками. Это позволяет обойти защиту FIDO за счет перехода к аутентификации между устройствами, которая не требует физического подключения ключа и может быть одобрена удаленно.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/541863/poisonseed-attack-flow.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Схема атаки

</td>
</tr>
</table>
</div>Исследователи подчеркивают, что в атаке не используются какие-либо уязвимости в FIDO. Вместо этого злоумышленники злоупотребляют штатной функцией, которая позволяет осуществить даунгрейд уровня защиты.<br/>
<br/>
Для защиты от таких атак специалисты советуют:<ul><li>ограничить географические регионы, из которых допускается вход в систему, и внедрить процедуру регистрации для сотрудников в командировках;</li>
</ul><ul><li>регулярно проверять регистрацию новых ключей FIDO из необычных геолокаций или от малоизвестных производителей;</li>
</ul><ul><li>по возможности обязать сотрудников использовать Bluetooth при межустройственной аутентификации, что снижает риски удаленных атак.</li>
</ul>Также в своем отчете аналитики Expel описывают другой инцидент, где злоумышленник зарегистрировал собственный FIDO-ключ после компрометации учетной записи жертвы (предположительно, с помощью фишинга). В этом случае не потребовалось даже подделывать QR-код или взаимодействовать с жертвой — вход был полностью завершен на стороне атакующего.<br/>
<br/>
Этот случай подчеркивает, что даже устойчивые перед фишингом методы аутентификации можно обойти, если убедить пользователя завершить процедуру входа без физического взаимодействия с ключом.<br/>
<br/>
<a href="https://xakep.ru/2025/07/21/poisonseed-fido/" target="_blank">@ xakep.ru</a>
</div>