ArtemisDiana – shutterstock.com
FIDO-Schlüssel verwenden eine hardwarebasierte Multi-Faktor-Authentifizierung, um Schwachstellen anderer MFA-Methoden zu beheben. Der berüchtigten Krypto-Hackergruppe PoisonSeed ist es jedoch offenbar gelungen, diese zusätzliche Sicherung zu umgehen. Forscher von Expel sind auf eine Angriffskampagne der Gruppe gestoßen, bei der FIDO mit Hilfe einer neuen Social-Engineering-Taktik überlistet wird.
„Wenn ein Benutzer, dessen Konto durch einen FIDO-Schlüssel geschützt ist, seinen Benutzernamen und sein Passwort auf der Phishing-Seite eingibt, werden seine Anmeldedaten wie bei jedem anderen Benutzer gestohlen“, erklären die Safety-Spezialisten den besonderen Schutz von FIDO in einem Blogbeitrag. „Da sein Konto jedoch durch FIDO geschützt ist, können die Angreifer nicht physisch mit der zweiten Type der Authentifizierung interagieren.“
Geräteübergreifender Komfort gerät ins Visier
PoisonSeed nutzt allerdings eine wenig bekannte Funktion vieler Identitätsplattformen aus: die geräteübergreifende Anmeldung per QR-Code. Angreifer verwenden dabei eine gefälschte Anmeldeseite, die oft Okta oder ähnliche Anbieter imitiert und nach der Eingabe des Passworts einen QR-Code anzeigt. Wenn der Benutzer diesen QR-Code mit einer legitimen Authentifizierungs-App scannt, wird die Sitzung abgeschlossen – allerdings für die Angreifer.
