PoisonSeed: Cómo los ataques de phishing eluden FIDO con WebAuthn

Redazione RHC : 5 agosto 2025 07:43

Los autores de la campaña de phishing PoisonSeedhan encontrado una forma de eludir FIDO (en este caso, FIDO2 con WebAuthn) mediante el mecanismo de autenticación multidispositivo implementado en WebAuthn. Los atacantes convencen a las víctimas para que aprueben las solicitudes de inicio de sesión desde portales corporativos falsos. Tenga en cuenta que la campaña PoisonSeed se basa en el phishing, cuyo objetivo final es el fraude financiero. En el pasado, los atacantes han pirateado cuentas corporativas con fines de marketing por correo electrónico y han enviado a los usuarios correos electrónicos con frases predefinidas para monederos de criptomonedas.

En los nuevos ataques identificados por los expertos de Expel, los atacantes no explotan una vulnerabilidad en los mecanismos FIDO, sino que abusan de una función legítima de autenticación entre dispositivos. Esta función, WebAuthn, permite a un usuario autenticarse en un dispositivo mediante una clave de seguridad o una aplicación de autenticación en otro. En lugar de conectar físicamente la clave (por ejemplo, mediante USB), la solicitud de autenticación se transmite por Bluetooth o un código QR.

Los nuevos ataques PoisonSeed comienzan redirigiendo a la víctima a un sitio de phishing que imita un portal de inicio de sesión corporativo de Okta o Microsoft 365. Una vez que la víctima introduce sus credenciales, la infraestructura de phishing las utiliza en tiempo real para acceder al portal real. Normalmente, la víctima confirma el acceso con su clave FIDO. Sin embargo, en este esquema, el servidor de phishing inicia el inicio de sesión a través del mecanismo de inicio de sesión de otro dispositivo. Como resultado, el portal real genera un código QR que se transmite a la página de phishing y se muestra a la víctima.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Cuando un usuario escanea este código QR con su teléfono inteligente o una aplicación de autenticación, básicamente aprueba el inicio de sesión del atacante. Esto le permite evadir la seguridad de FIDO al cambiar a la autenticación de dispositivo a dispositivo, que no requiere una conexión de clave física y puede aprobarse de forma remota.

Los investigadores enfatizan que el ataque no explota ninguna vulnerabilidad de FIDO. En cambio, los atacantes explotan una función estándar que les permite reducir el nivel de protección. Para protegerse contra estos ataques, los expertos recomiendan:

• Limita las áreas geográficas desde las que se permite el acceso e implementa un proceso de registro para los empleados que viajan por negocios.
• Comprueba periódicamente si hay nuevos registros de claves FIDO provenientes de ubicaciones geográficas inusuales o de fabricantes poco conocidos.
• Si es posible, solicita a los empleados que usen Bluetooth para la autenticación entre dispositivos, lo que reduce el riesgo de ataques remotos.

También en su informe, los analistas de Expel describen otro incidente en el que el atacante registró su clave FIDO tras comprometer la cuenta de la víctima (presumiblemente mediante phishing). En este caso, ni siquiera fue necesario falsificar un código QR ni interactuar con la víctima: el atacante completó todo el proceso de inicio de sesión.

Este caso demuestra que incluso los métodos de autenticación resistentes al phishing pueden eludirse si se convence al usuario de que complete el proceso de inicio de sesión sin interactuar físicamente con la clave.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli