PoisonSeed Phishing Saldırısı: FIDO2 Koruma Önlemlerini Aşmanın Yolu
Son dönemde, siber saldırganlar için yeni bir tehdit olan PoisonSeed phishing kampanyası dikkatleri üzerine çekiyor. Bu kampanya, FIDO2 güvenlik anahtarları gibi çeşitli koruma mekanizmalarını aşarak, kullanıcıların sahte şirket portallarından gelen oturum açma onaylarını onaylamalarını sağlamak için WebAuthn’ın cross-device (çapraz cihaz) oturum açma özelliğini kötüye kullanıyor. Bu yazıda, bu tehditin nasıl işlediğini ve alınabilecek önlemleri ele alacağız.
PoisonSeed Saldırganlarının Taktikleri
PoisonSeed saldırganları, geçmişte finansal dolandırıcılık amacıyla yüksek hacimli phishing saldırılarıyla tanınmışlardır. Geçmişte, kullanıcıların kripto para cüzdanlarını boşaltmak için kripto başlangıç cümleleri içeren e-postalar dağıttıkları bilinmektedir. Ancak son saldırılarda, FIDO2 güvenlik açığını kullanmak yerine, geçerli bir özellik olan cross-device kimlik doğrulamasını kötüye kullanarak kullanıcıları hedef almaktadırlar.
Bu saldırı, kullanıcıların sahte bir korumalı giriş portalına yönlendirilmesi ile başlar. Örneğin, Okta veya Microsoft 365 gibi popüler hizmetlere ait giriş sayfalarının taklitleri kullanılır. Kullanıcı, buraya kimlik bilgilerini girdiğinde, saldırganların adversary-in-the-middle (AiTM) arka plan sistemi, gerçek zamanlı olarak bu bilgileri kullanarak meşru portalda oturum açar.
Cross-Device Kimlik Doğrulama Nasıl Çalışır?
Kullanıcı, genellikle FIDO2 güvenlik anahtarları aracılığıyla çok faktörlü kimlik doğrulama taleplerini doğrulamak için giriş yapar. Ancak, phishing arka planı meşru portalın cross-device kimlik doğrulamasını kullanarak oturum açmasını talep eder. Bu işlem, meşru portaldan bir QR kod üretilmesine neden olur. Kullanıcı, bu QR kodunu akıllı telefon veya kimlik doğrulama uygulaması ile taradığında, saldırganın başlattığı oturum açma girişimini onaylamış olur.
FIDO2 Güvenlik Anahtarlarının Aşılması
Bu yöntem, FIDO2 güvenlik anahtarı koruma önlemlerini geçersiz kılarak, saldırganların fiziksel bir FIDO2 anahtarı yerine cross-device oturum açma sürecine dayanarak oturum açma akışını başlatmalarına olanak tanır. Expel, bu saldırının FIDO2 uygulamasındaki bir açığı kullanmadığını, bunun yerine meşru bir özelliği kötüye kullanarak FIDO ile kimlik doğrulama sürecini düşürdüğünü belirtmektedir.
Tehditten Korunmak İçin Önerilen Önlemler
Expel, bu tür saldırıların önünü almak için bazı önerilerde bulunmaktadır:
Coğrafi Limitleme: Kullanıcıların giriş yapmalarına izin verilen coğrafi bölgeleri sınırlamak ve seyahat eden bireyler için bir kayıt süreci oluşturmak.
FIDO Anahtar Kontrolleri: Bilinmeyen FIDO anahtarlarının ve alışılmadık güvenlik anahtarı markalarının kaydını düzenli olarak kontrol etmek.
Bluetooth Tabanlı Kimlik Doğrulama: Kuruluşlar, cross-device kimlik doğrulaması için Bluetooth tabanlı kimlik doğrulamanın zorunlu hale getirilmesini düşünebilirler. Bu, uzaktan phishing saldırılarının etkisini önemli ölçüde azaltacaktır.
Saldırıların Sonuçları ve Kullanıcı Duyarlılığı
Expel ayrıca, bir başka olayda bir saldırganın, bir hesabı ele geçirdikten sonra kendi FIDO anahtarını kaydettiğini gözlemlemiştir. Bu durum, phishing yöntemi ile kullanıcıyı yanıltmaya gerek duymadan gerçekleşmiştir. Bu tür saldırılar, tehdit aktörlerinin fiziksel etkileşimi gerektirmeyen kimlik doğrulama sistemlerini geçmenin yollarını bulduğunu göstermektedir.
Kullanıcıların bu tür saldırılara karşı duyarlı olmaları ve şüpheli bağlantılara tıklamamaları konusu oldukça önemlidir. Bilinçli ve dikkatli olmak, bu tür siber tehditlere karşı en iyi savunmadır.
Sonuç Olarak
Sonuç olarak, PoisonSeed phishing kampanyası, mevcut güvenlik mekanizmalarını aşmanın yeni bir yolunu sunmaktadır. Kullanıcıların, kimlik bilgilerini korumaları ve güvenlik önlemlerine dikkat etmeleri, bu tür tehditlere karşı en etkili savunmadır. Önerilen önlemler ile birlikte, güçlü bir siber önlem stratejisi oluşturmak, organizasyonların ve bireylerin bu tür saldırılara karşı daha dayanıklı hale gelmesine yardımcı olacaktır.
