PoisonSeed 网络钓鱼活动通过滥用 WebAuthn 中的跨设备登录功能来绕过 FIDO2 安全密钥保护，诱骗用户同意来自虚假公司门户的登录认证请求。

众所周知，PoisonSeed 攻击者利用大规模网络钓鱼攻击来进行金融欺诈。在过去，分发包含加密种子短语的电子邮件用于耗尽加密货币钱包。

在 Expel 最近观察到的网络钓鱼攻击中，PoisonSeed 攻击者并没有利用 FIDO2 的安全漏洞，而是滥用了合法的跨设备身份验证功能。

跨设备认证是一种 WebAuthn 功能，允许用户使用另一台设备上的安全密钥或认证应用程序在一台设备上登录。身份验证请求不需要物理连接，比如插入安全密钥，而是通过蓝牙或二维码扫描在设备之间传输。

这种攻击首先将用户引导到一个仿冒企业登录门户的网络钓鱼网站，比如 Okta 或 Microsoft 365。当用户向门户输入凭据时，该活动使用中间对手（AiTM）后端，使用提交的凭据在合法登录门户上实时静默登录。

攻击中的目标用户通常会使用他们的 FIDO2 安全密钥来验证多因素身份验证请求。但是，网络钓鱼后端会告诉合法登录门户使用跨设备身份验证进行身份验证。

这将导致合法门户生成 QR 码，该 QR 码被传输回网络钓鱼页面并显示给用户。当用户使用智能手机或身份验证应用扫描这个二维码时，它就会批准攻击者发起的登录尝试。

PoisonSeed 攻击流绕过 FIDO2 保护

这种方法允许攻击者发起依赖于跨设备身份验证而不是用户的物理 FIDO2 密钥的登录流，从而有效地绕过了 FIDO2 安全密钥保护。

Expel 说，这种攻击并没有利用 FIDO2 实现中的漏洞，而是滥用了降低 FIDO 密钥身份验证过程的合法功能。为了降低风险，Expel 建议采取以下防御措施：

·限制允许用户登录的地理位置，并为个人旅行建立注册流程。

·定期检查来自未知地点的未知 FIDO 密钥和不常见的安全密钥品牌的注册。

·考虑强制基于蓝牙的身份验证作为跨设备身份验证的要求，这将大大降低远程网络钓鱼攻击的有效性。

Expel 还观察到一个单独的事件，一个威胁者在通过被认为是网络钓鱼的方式破坏了一个账户并重置了密码后，注册了自己的 FIDO 密钥。然而，这种攻击不需要任何欺骗用户的方法，比如 QR 码。

这种攻击突出了威胁者如何通过欺骗用户完成登录流程来绕过使用安全密钥进行物理交互的需要，从而找到绕过抗网络钓鱼认证的方法。