Дослідники безпеки виявили фішинг-атаку, яка, як вважалося, обходить багатофакторну автентифікацію на основі FIDO — галузевого стандарту, котрий набуває популярності серед сайтів і компаній. Але після аналізу допису компанії Expel можна впевнено сказати: це не обхід, а зниження рівня MFA до менш захищеного (не-FIDO) варіанту. Про це йдеться в матеріалі Ars Technica.
Як працює атака
Expel повідомила, що все починається зі стандартного фішингового листа з посиланням на підроблений сайт входу в Okta. Після введення імені користувача й пароля зловмисники з угруповання PoisonSeed вводять ці дані у справжню форму входу Okta. Потім запитують авторизацію через міжпристрійний вхід: портал показує QR-код, який фішинговий сайт миттєво передає жертві. Жертва сканує код із MFA-застосунком — автентифікація спрацьовує, атакувальники отримують доступ.
Чому це не обхід FIDO
FIDO-специфікація враховує такі атаки. Аби авторизація пройшла, пристрій із passkey має бути фізично поруч із пристроєм, що входить у систему — зв’язок відбувається через Bluetooth. Це не опція, а обов’язкова умова. Також криптографічний виклик має бути пов’язаний із доменом справжнього сайту (наприклад, okta.com), а не фейкового (okta.login-request.com), інакше підпис не пройде.
Це зниження рівня MFA, а не обхід
Expel фактично описує атаку, яка працює лише тому, що організація дозволила fallback — можливість переходу від FIDO до менш безпечної автентифікації (наприклад, SMS або QR-код). Це підтвердив і розробник застосунків на основі FIDO Ісая Інува:
«Уявімо, що ACME Corp дозволяє FIDO і SMS. Якщо атакувальник Eve обирає SMS замість ключа FIDO, це вже не обхід, а навмисне зниження рівня безпеки, яке дозволила сама компанія».
Expel погодилася з цією оцінкою й оновлює свій блог.
Адміністратори мають серйозно зважувати доцільність fallback-варіантів. Користувачам варто обирати лише автентифікацію, яка повністю відповідає FIDO. Навіть якщо розрізнити її від менш захищеної важко, краще не ризикувати.
Чому це важливо
FIDO позиціюється як найнадійніший стандарт MFA, здатний протистояти фішинговим атакам. Але навіть найкращий стандарт стає вразливим, якщо компанії дозволяють fallback до менш захищених методів. Це критичний сигнал для адмінів і DevSecOps-команд: конфігурації MFA мають бути безкомпромісними, інакше вся система втратить сенс.
Читайте також на ProIT: KnowBe4 презентувала Prevent — новий продукт на основі штучного інтелекту, призначений для захисту від ризиків вихідної електронної пошти.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
