Peneliti keamanan siber telah mengungkap teknik serangan baru yang memungkinkan pelaku ancaman menurunkan perlindungan kunci Fast IDentity Online ( FIDO ) dengan menipu pengguna agar menyetujui permintaan autentikasi dari portal login perusahaan palsu.
Kunci FIDO adalah autentikator berbasis perangkat keras atau perangkat lunak yang dirancang untuk mencegah phishing dengan mengikat login ke domain tertentu menggunakan kriptografi kunci publik-pribadi. Dalam kasus ini, penyerang memanfaatkan fitur yang sah—login lintas perangkat—untuk mengelabui korban agar tanpa disadari mengautentikasi sesi berbahaya.
Aktivitas tersebut, yang diamati oleh Expel sebagai bagian dari kampanye phishing yang marak, telah dikaitkan dengan pelaku ancaman bernama PoisonSeed , yang baru-baru ini ditandai karena memanfaatkan kredensial yang disusupi terkait dengan alat manajemen hubungan pelanggan (CRM) dan penyedia email massal untuk mengirim pesan spam yang berisi frasa benih mata uang kripto dan menguras dompet digital korban.
“Penyerang melakukan ini dengan memanfaatkan fitur masuk lintas perangkat yang tersedia dengan kunci FIDO,” ujar peneliti Ben Nahorney dan Brandon Overstreet . “Namun, pelaku kejahatan dalam kasus ini menggunakan fitur ini dalam serangan adversary-in-the-middle (AitM).”
Teknik ini tidak berfungsi di semua skenario. Teknik ini secara khusus menargetkan pengguna yang mengautentikasi melalui alur lintas perangkat yang tidak menerapkan pemeriksaan kedekatan yang ketat—seperti Bluetooth atau atestasi perangkat lokal. Jika lingkungan pengguna mewajibkan kunci keamanan perangkat keras yang terhubung langsung ke perangkat login, atau menggunakan autentikator yang terikat platform (seperti Face ID yang terhubung ke konteks peramban), rantai serangan akan terputus.
Masuk lintas perangkat memungkinkan pengguna untuk masuk pada perangkat yang tidak memiliki kunci sandi menggunakan perangkat kedua yang menyimpan kunci kriptografi, seperti telepon seluler.
Rangkaian serangan yang didokumentasikan oleh Expel dimulai dengan email phishing yang memancing penerima untuk masuk ke halaman login palsu yang meniru portal Okta milik perusahaan. Setelah korban memasukkan kredensial mereka, informasi login tersebut secara diam-diam diteruskan oleh situs palsu tersebut ke halaman login yang sebenarnya.
Situs phishing kemudian memerintahkan halaman login yang sah untuk menggunakan metode transportasi hibrid untuk autentikasi, yang menyebabkan halaman tersebut menyajikan kode QR yang selanjutnya dikirim kembali ke situs phishing dan disajikan kepada korban.
Jika pengguna memindai kode QR dengan aplikasi autentikator di perangkat seluler mereka, hal itu memungkinkan penyerang memperoleh akses tidak sah ke akun korban.
“Dalam kasus serangan ini, pelaku kejahatan telah memasukkan nama pengguna dan kata sandi yang benar dan meminta akses masuk lintas perangkat,” kata Expel.
Portal masuk menampilkan kode QR, yang langsung ditangkap dan diteruskan kembali oleh situs phishing kepada pengguna di situs palsu. Pengguna memindainya dengan autentikator MFA mereka, portal masuk dan autentikator MFA berkomunikasi, dan penyerang pun masuk.
Yang membuat serangan ini penting adalah kemampuannya untuk mengakali perlindungan yang ditawarkan oleh kunci FIDO dan memungkinkan pelaku ancaman mendapatkan akses ke akun pengguna. Metode kompromi ini tidak mengeksploitasi kelemahan apa pun dalam implementasi FIDO. Sebaliknya, metode ini menyalahgunakan fitur yang sah untuk menurunkan proses autentikasi.
Meskipun FIDO2 dirancang untuk mencegah phishing, alur masuk lintas perangkatnya—dikenal sebagai transportasi hibrida—dapat disalahgunakan jika verifikasi jarak seperti Bluetooth tidak diterapkan. Dalam alur ini, pengguna dapat masuk di desktop dengan memindai kode QR menggunakan perangkat seluler yang menyimpan kunci sandi mereka.
Namun, penyerang dapat mencegat dan meneruskan kode QR tersebut secara real-time melalui situs phishing, mengelabui pengguna agar menyetujui autentikasi pada domain palsu. Hal ini mengubah fitur keamanan menjadi celah phishing—bukan karena cacat protokol, melainkan karena implementasinya yang fleksibel.
Expel juga mengatakan pihaknya mengamati insiden terpisah di mana pelaku ancaman mendaftarkan kunci FIDO mereka sendiri setelah membobol akun melalui email phishing dan mengatur ulang kata sandi pengguna.
Untuk melindungi akun pengguna dengan lebih baik, organisasi sebaiknya menggabungkan autentikasi FIDO2 dengan pemeriksaan yang memverifikasi perangkat yang digunakan. Jika memungkinkan, proses login sebaiknya dilakukan di perangkat yang sama dengan kunci sandi, yang akan mengurangi risiko phishing. Tim keamanan sebaiknya mewaspadai login dengan kode QR yang tidak biasa atau pendaftaran kunci sandi baru. Opsi pemulihan akun sebaiknya menggunakan metode yang tahan phishing, dan layar login—terutama untuk login lintas perangkat—sebaiknya menampilkan detail bermanfaat seperti lokasi, jenis perangkat, atau peringatan yang jelas untuk membantu pengguna mendeteksi aktivitas mencurigakan.
Jika ada, temuan tersebut menggarisbawahi perlunya mengadopsi autentikasi yang tahan terhadap phishing di semua langkah dalam siklus hidup akun, termasuk selama fase pemulihan, karena menggunakan metode autentikasi yang rentan terhadap phishing dapat merusak seluruh infrastruktur identitas.
“Serangan AitM terhadap kunci FIDO dan kunci FIDO yang dikendalikan penyerang hanyalah contoh terbaru dari serangkaian panjang contoh di mana pelaku kejahatan dan pembela HAM meningkatkan upaya mereka dalam upaya membahayakan/melindungi akun pengguna,” tambah para peneliti.
(Cerita tersebut diperbarui setelah dipublikasikan untuk memperjelas bahwa teknik serangan tersebut tidak melewati perlindungan FIDO dan menurunkan autentikasi ke metode yang rentan terhadap phishing.)