Nova técnica de ataque usa códigos QR para contornar chaves de segurança FIDO

Um agente de ameaças conhecido como “PoisonSeed” desenvolveu uma nova técnica de ataque capaz de contornar as proteções de autenticação baseadas em chaves de segurança FIDO (Fast Identity Online), consideradas um dos padrões mais seguros do mercado.

O alerta consta de um relatório da empresa de Deteção e Resposta Gerida (MDR) Expel, que detalha como o grupo explora a funcionalidade de login entre dispositivos para enganar as vítimas e obter acesso às suas contas. Embora a técnica não explore uma vulnerabilidade na tecnologia FIDO em si, serve como um lembrete de que a segurança vai para além da resistência a phishing de uma chave física.

O ataque começa com um e-mail de phishing enviado a funcionários de uma empresa, tentando induzi-los a aceder a uma página de login falsa do serviço Okta. Se a vítima introduzir as suas credenciais, é-lhe apresentado um código QR.

Nos bastidores, o ataque desenrola-se da seguinte forma: em primeiro lugar, o atacante utiliza credenciais roubadas para iniciar sessão no portal legítimo da empresa. No entanto, por não possuir a chave FIDO da vítima, o sistema apresenta um código QR como alternativa de autenticação, permitindo o acesso através de outro dispositivo, uma funcionalidade comum para utilizadores que não têm a chave física consigo. O atacante então reencaminha esse código QR para a vítima por meio de uma página de phishing. A vítima, convencida de que está a realizar um passo legítimo da autenticação multifator (MFA), digitaliza o código QR com o seu telemóvel, acabando por autorizar, sem o saber, a sessão do atacante.

“O portal de login apresenta um código QR após receber o nome de utilizador e a palavra-passe corretos, que o utilizador digitaliza com o seu autenticador MFA”, explicam os investigadores da Expel, Ben Nahorney e Brandon Overstreet. Como o ataque simula na perfeição a experiência de autenticação, o atacante consegue enganar o utilizador e fazê-lo abdicar desta segunda camada de segurança.

No caso observado pela Expel, o atacante apenas conseguiu criar uma sessão ativa e foi expulso do sistema antes de causar danos. No entanto, os investigadores mencionaram outro incidente em que o mesmo grupo conseguiu redefinir a palavra-passe de uma vítima e registar a sua própria chave FIDO, tomando controlo total da conta.

Um investigador da Expel, que preferiu não ser identificado, afirmou ao site Dark Reading que, embora a PoisonSeed se concentre em poucas empresas de cada vez, “esta técnica pode ser facilmente escalada”. A descoberta reforça a necessidade de uma vigilância constante e de formação dos utilizadores, mesmo quando são utilizadas tecnologias de segurança avançadas.