Ataque de Phishing Exploita Fraquezas no MFA Baseado em FIDO

Recentemente, pesquisadores relataram ter encontrado um ataque de phishing que parece contornar um esquema de autenticação multifatorial (MFA) baseado em FIDO (Fast Identity Online), um padrão adotado por milhares de sites e empresas.

O FIDO é amplamente considerado resistente a tentativas de phishing, pois exige que o usuário forneça uma segunda etapa de autenticação, como uma chave segura (passkey) ou um dispositivo físico. Essa proteção foi projetada para evitar justamente os tipos de situações descritas.

A campanha, denominada PoisonSeed, começa com um email que redireciona a uma página de login falsa do Okta. O usuário é instado a inserir seu nome de usuário e senha. Ao cair na armadilha, o atacante consegue acessar a conta do usuário.

A descoberta foi feita pela empresa de segurança Expel. Eles identificaram que, em vez de bypassar completamente o FIDO, os criminosos reduzem o processo de autenticação para um método mais fraco. Isso é conhecido como 'downgrade' e não constitui um bypass completo.

A Exploit conseguiu acessar contas usando códigos QR enviados para dispositivos móveis, permitindo que os criminosos completassem o processo de autenticação. Essa abordagem aproveita um recurso de fallback do FIDO, que permite a entrada via outros meios se a chave segura não estiver disponível.

Os administradores de sistemas devem evitar permitir que o FIDO seja substituído por métodos mais fracos. Os usuários, por sua vez, devem ser educados para reconheceram a diferença entre autenticações seguras e menos seguras.