“毒种"攻击者巧妙绕过FIDO密钥

研究人员发现了一种新型钓鱼攻击，通过向受害者提供QR码作为所谓的多因素认证（MFA）的一部分，以绕过基于FIDO的保护措施。

亚历山大·库拉菲，高级新闻撰稿人，Dark Reading
2025年7月19日
4分钟阅读
来源：Jason Edwards via Alamy Stock Photos

一个被称为"毒种”（PoisonSeed）的威胁行为者因开发出一种能够绕过组织中基于FIDO保护的新型攻击技术而受到关注。

这是根据MDR供应商Expel本周发布的报告《毒种绕过FIDO密钥"获取"用户账户》得出的结论。FIDO（快速身份在线）指的是一套与技术无关的身份验证规范。该技术最初由FIDO联盟开发，被视为安全领域的黄金标准，常见于物理安全密钥等非密码认证技术中。

Expel的研究涉及一种通过利用FIDO安全密钥中的跨设备登录功能来获取受害者访问权限的策略，这种方式可以绕过某些安全保护措施。虽然该报告不涉及FIDO技术本身的漏洞，但它提醒防御者：安全并不止于防钓鱼的安全密钥。

攻击过程

根据Expel研究人员观察到的实例，攻击始于向客户公司多名员工发送钓鱼邮件。邮件试图诱使用户登录伪造的Okta登录页面。如果用户登录，他们会被重定向到一个伪造的AWS链接，该链接与伪造的Okta登录页面一样，通过Cloudflare托管。

相关阅读：ISC2发现组织越来越依赖AI

此外，一旦用户输入登录信息，该用户会看到一个QR码。根据Expel的说法，威胁行为者——一个专注于钓鱼和加密货币盗窃的名为毒种的组织——使用窃取的凭据登录合法的登录门户。

在钓鱼网站输入用户名和密码后，用户会看到一个QR码，“同时要求使用FIDO密钥的跨设备登录功能”。门户网站生成一个QR码来验证用户身份，这个相同的QR码被传递给最终用户。

“在正常情况下，当用户想要从不同的未注册设备登录其账户时，如果他们已注册了其他认证设备，仍然可以验证身份。在大多数情况下，这将是安装在移动设备上的MFA认证应用程序，其中大多数包括QR码扫描器，“Expel研究人员本·纳霍尼和布兰登·奥弗斯特里特解释道。“登录门户在收到正确的用户名和密码后显示QR码，用户使用其MFA认证器扫描该码。”

报告继续说明：“这个过程——虽然看似复杂——有效地绕过了FIDO密钥提供的任何保护，并使攻击者能够访问受损用户的账户，包括访问任何应用程序、敏感文档和此类访问提供的工具。”

相关阅读：完全修补的SonicWall设备遭受可能的零日攻击

由于攻击完全模拟了多因素认证体验，攻击者能够欺骗用户放弃第二层安全保护。

在这种情况下，除了创建活动会话外，未发现恶意活动，Expel提出了建议，帮助确保攻击者被驱逐出客户环境。然而，纳霍尼和奥弗斯特里特引用了另一起事件，其中攻击者在钓鱼攻击期间成功重置了受害者的密码，然后注册了自己的FIDO密钥。

关于这种攻击技术的普及程度，一位希望匿名的Expel研究员告诉Dark Reading，毒种一次只针对几家公司进行攻击，“但这种技术可以轻松扩展。”

这对FIDO意味着什么？

正如纳霍尼和奥弗斯特里特所说，“针对和使用FIDO密钥的攻击增加并没有改变这样一个事实：在保护账户方面，它们仍然是一项值得的投资。“然而，这提醒我们，FIDO密钥像其他任何东西一样，需要定期审计。

相关阅读：AsyncRAT产生令人担忧的分支迷宫

Expel表示，审查认证应用程序日志以查找可疑活动是一个好的开始。此外，跨设备登录有一个安全功能，可以要求预先存在的带有MFA认证器的移动设备与用户尝试登录的未注册设备之间进行蓝牙通信。仅此一项就几乎完全防止了刚才描述的攻击。

Dark Reading询问了销售仅FIDO安全密钥的Yubico对该研究的看法。作为回应，公司发言人强调，Expel的研究"并未证明密码密钥设计存在缺陷，也不是对FIDO安全密钥的绕过。”

“它概述了一种攻击方法，其中任何选择的委派备份认证方法——本质上是可钓鱼的，如利用QR码的认证器应用程序——都可能被拦截，“发言人说。“Yubico建议仔细考虑任何身份生态系统中的所有认证流程，包括在账户生命周期的所有步骤中使用防钓鱼认证——例如博客中讨论的恢复流程，鉴于它们是常见的攻击向量。”

关于作者

亚历山大·库拉菲
高级新闻撰稿人，Dark Reading
亚历克斯是驻波士顿的作家、记者和播客主持人。

查看亚历山大·库拉菲的更多内容

随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

更多洞察

网络研讨会
像网络罪犯一样思考以阻止下一次潜在攻击
2025年7月22日

提升数据库安全：利用数据威胁分析和安全态势
2025年7月23日

DOGE对网络的影响：发生了什么以及下一步是什么？
2025年7月24日

解决ICS/OT修补和漏洞管理难题
2025年7月30日

为更有效的安全合作伙伴关系制定路线图
2025年8月14日

更多网络研讨会

活动
[虚拟活动] 现代企业的战略安全
2025年6月26日

[虚拟活动] 数据泄露剖析
2025年6月18日

[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月2日

更多活动

您可能还喜欢
远程 workforce
‘SessionShark’工具包规避Microsoft Office 365 MFA

远程 workforce
YouTube CEO的深度伪造视频钓鱼创作者

远程 workforce
中国的丝绸台风APT转向IT供应链攻击

远程 workforce
田纳西州男子帮助朝鲜工人获得美国组织工作，资助大规模杀伤性武器

编辑选择
可用服务源圈

网络安全运营
LevelBlue收购Trustwave，形成全球最大独立MSSP
作者：杰弗里·施瓦茨
2025年7月1日
3分钟阅读
男子对着显示语音生成应用程序的移动设备说话

网络攻击与数据泄露
虚假朝鲜IT工人的范围和规模显现
作者：贝基·布拉肯
2025年7月1日
6分钟阅读
关于鱼叉式网络钓鱼的是/否问卷

端点安全
我们都错了：钓鱼培训不起作用
作者：内特·尼尔森，特约撰稿人
2025年7月1日
6分钟阅读