كشف باحثو الأمن السيبراني عن تقنية هجوم جديدة تسمح للمهاجمين بخفض مستوى حماية مفاتيح FIDO (Fast IDentity Online)، عبر خداع المستخدمين للموافقة على طلبات تسجيل دخول مزيفة من خلال بوابات دخول تحاكي واجهات الشركات.
تُعد مفاتيح FIDO وسيلة مصادقة تعتمد على الأجهزة أو البرامج وتهدف إلى القضاء على التصيد الاحتيالي (Phishing) من خلال ربط تسجيل الدخول بنطاقات معينة باستخدام تشفير المفاتيح العامة والخاصة. غير أن المهاجمين، في هذه الحالة، يستغلون ميزة مشروعة تُعرف باسم تسجيل الدخول العابر للأجهزة (Cross-device Sign-in) لخداع الضحايا والمصادقة على جلسات خبيثة.
تفاصيل الهجوم
رصدت شركة Expel هذا النشاط كجزء من حملة تصيد نشطة، ونسبته إلى جهة تهديد تُعرف باسم PoisonSeed، والتي عُرفت سابقًا باستخدام بيانات اعتماد مخترقة لخدمات CRM ومنصات البريد الإلكتروني لإرسال رسائل تصيد تتضمن عبارات مرتبطة بمحافظ العملات الرقمية.
“يستغل المهاجمون خاصية تسجيل الدخول العابر المتاحة مع مفاتيح FIDO، ويطبقونها ضمن هجوم الوسيط (Adversary-in-the-Middle – AitM)“، بحسب الباحثين بن ناهورني وبراندون أوفريستريت.
لكن هذه التقنية لا تنجح في جميع السيناريوهات. فهي تستهدف تحديدًا الحالات التي لا يتم فيها التحقق من القرب الفيزيائي، مثل غياب اتصال Bluetooth أو المصادقة على الجهاز نفسه. أما في الحالات التي تُستخدم فيها مفاتيح FIDO المربوطة بالجهاز مباشرة أو تقنيات مثل Face ID المرتبطة بسياق المتصفح، فإن سلسلة الهجوم تنكسر.
كيف يتم التنفيذ؟
تبدأ سلسلة الهجوم برسالة تصيد تُوجه الضحية إلى صفحة تسجيل دخول مزيفة تُحاكي بوابة Okta الخاصة بالشركة. بعد إدخال بيانات الدخول، تقوم الصفحة المزيفة بتمرير المعلومات إلى البوابة الحقيقية.
تقوم بوابة الدخول الحقيقية بعد ذلك بعرض رمز QR لتفعيل المصادقة عبر الجهاز الآخر (الهاتف مثلًا). يتم تمرير هذا الرمز فورًا من البوابة الحقيقية إلى الموقع المزيف، ثم يُعرض على المستخدم.
عندما يقوم المستخدم بمسح الرمز عبر تطبيق المصادقة الخاص به، يُمنح المهاجمون صلاحية الوصول إلى الحساب.
“المهاجمون لا يتجاوزون FIDO، بل يقومون بتخفيض مستوى المصادقة إلى سيناريو قابل للاختراق عبر التصيد”، أوضحت Expel.
لماذا هذا الهجوم فعال؟
هجوم PoisonSeed لا يخترق بروتوكول FIDO نفسه، وإنما يستغل ميزة مرنة داخله تُعرف باسم Hybrid Transport، والتي تتيح تسجيل الدخول على جهاز مكتبي عبر مسح رمز QR بجهاز آخر يحتفظ بمفتاح المصادقة.
في حال عدم فرض تحقق القرب، يمكن للمهاجمين تمرير رمز QR في الوقت الفعلي، وبالتالي خداع المستخدمين للموافقة على دخول ضار.
كما سجلت Expel حادثة أخرى حيث قام المهاجمون، بعد اختراق الحساب، بتسجيل مفتاح FIDO جديد خاص بهم، مما منحهم تحكمًا طويل الأجل بالحساب.
🛡️ كيف نحمي الحسابات؟
-
فرض المصادقة على الجهاز نفسه بدلًا من الجهاز العابر.
-
مراقبة تسجيلات الدخول غير المعتادة باستخدام رموز QR أو تسجيل مفاتيح جديدة.
-
استخدام طرق استرداد حساب مقاومة للتصيد.
-
عرض تفاصيل الجهاز والموقع الجغرافي في صفحات تسجيل الدخول لتنبيه المستخدمين.
“هجمات AitM ضد مفاتيح FIDO هي جزء من سلسلة طويلة من الصراع بين المهاجمين والمدافعين عن الحسابات”، أضاف الباحثون.
النتائج تسلط الضوء على أهمية اعتماد مصادقة مقاومة للتصيد في جميع مراحل دورة حياة الحساب، بما في ذلك أثناء الاسترداد، لأن أي نقطة ضعف واحدة قد تقوض النظام بأكمله.
