- Una campaña de phishing ha tratado de trabajar alrededor de las teclas Feedo alrededor
- La función de “firma entre dispositivos cruzados” desencadena un código QR
- Los enfriamientos pueden evitar MFA para evitar e iniciar sesión en el código QR para iniciar sesión
Los piratas informáticos incluso han encontrado una manera de robar credenciales de inicio de sesión para cuentas protegidas con claves físicas (FIDO) teclas físicas. Gira alrededor de un Fallaback realizado en esta solución de autenticación multifactor (MFA) y simplemente funciona en ciertas situaciones.
Las teclas FIDO son pequeños autenticistas físicos o de software, que utilizan tecnología criptográfica para registrar a los usuarios en el sitio web y las aplicaciones. Sirven como autenticador de múltiples factores, evitando que los ciberdelincuentes que ya han recibido credenciales de inicio de sesión del acceso a cuentas objetivo.
Para usar el autenticador, la mayoría de las veces los usuarios deben interactuar físicamente con el dispositivo. Sin embargo, en algunas situaciones, hay un proceso de reemplazo: escanear un código QR. Los delincuentes han comenzado a usar este Fallabac en el llamado ataque de la Oposición-Central (AITM).
Pesca para códigos QR
Proteger a los investigadores observados por expulsión, los ataques comienzan con los correos electrónicos de phishing ordinarios.
Lleva a las víctimas a una página de destino que duplica la apariencia y la sensación del proceso de autenticación normal de la compañía con el logotipo de Okta y el nombre de usuario y la contraseña para la contraseña.
En general, después de ingresar las credenciales de inicio de sesión, el usuario debe interactuar físicamente con la tecla FIDO. Sin embargo, en este caso, se presenta un código QR en lugar del usuario.
Esto se debe a que en segundo plano, los atacantes usaron credenciales de inicio de sesión y solicitaron el “inicio de sesión cruzado”, que activó el código QR Falback. Si la víctima escanea el código QR, el portal de inicio de sesión y el autenticador de MFA contactos y los atacantes iniciaron con cuenta con éxito.
La mejor manera de defenderse de este ataque es habilitar las verificaciones de proximidad Bluetooth en FIDO, de modo que los códigos QR solo funcionen en el teléfono más cerca de la computadora del usuario.
Alternativamente, las empresas deben ser educadas sobre cómo identificar páginas de inicio de sesión sospechosas y códigos QR inesperados en sus empleados, ya que la URL y el dominio pueden identificar fácilmente esta página de destino contaminada.
Hasta el final, los registros de autenticación o los nuevos registros de FIDO deben auditarse para los extraños inicios de sesión basados en QR de los equipos de TI, que pueden actuar como un índice de negociación.
A través de Noticias de hacker
