Expel afferma che Poishesid ha trovato una mano carina per bypassare questo importante passo. Mentre l’utente inserisce il nome utente e la password sul duplicato sito OCTA, un membro del team tossico inserisce una vera pagina di accesso OCTA in tempo reale. Mentre il post di giovedì è andato a spiegare:
Nel caso di questo attacco, i cattivi attori hanno inserito il nome utente e la password giusti e hanno richiesto di firmare un divieto incrociato. Il portale di accesso visualizza un codice QR, che il sito di phishing cattura immediatamente e trasmette all’utente sul sito falso. L’utente lo scansiona con il proprio Autenticator MFA, il portale di accesso e il contatto Authenticator MFA e gli aggressori sono presenti.
Questo processo – apparentemente complesso – bypassa qualsiasi protezione che è effettivamente consentita di consentire una chiave di feedo e offre l’accesso a uno qualsiasi degli aggressori l’accesso a qualsiasi domanda, documenti sensibili e accesso all’account utente compromesso con questo accesso nazionale.
In che modo Fido rende impossibile questo attacco nazionale
L’agenzia di sicurezza ha affermato che il risultato finale è stato un attacco anti-medio che potrebbe bypassare il feedo MFA con il processo di codice QR. Come accennato in precedenza, gli scrittori di Fido Space si aspettavano queste strategie di attacco nazionale e crearono difesa che le rendevano impossibili, almeno nella forma descritta dall’Espple. Se il processo MFA OKTA target seguisse i requisiti FIDO, l’accesso non avrebbe fallito per almeno due motivi.
Innanzitutto, il dispositivo che fornisce la forma ibrida di autenticazione deve essere fisicamente abbastanza vicino da accedere per connettersi con il Bluetooth dei due. Contrariamente a quanto ha detto l’Epple, non è una “funzione di protezione extra”. Questo è obbligatorio. Senza di essa l’autenticazione fallirà.
In secondo luogo, la sfida che dovrebbe essere firmata sul dispositivo ibrido sarà legata al dominio del sito falso (qui Octa (.) Login-Anurodh (.) BASSO) e Octa.com autentici non sono domini. Anche se il dispositivo ibrido Era Nella posizione vicina del dispositivo di utente malintenzionato, l’autenticazione fallirà, poiché gli URL non corrispondono.
Gli esplosi che sembravano accadere è un attacco che ha abbattuto l’MFA di Feedo con una forma di MFA debole. Molto probabilmente, questa debole autenticazione è stata utilizzata per accedere a un account Netflix o YouTube su una TV con un telefono. Ha preso il caso che la persona che ha gestito la pagina di accesso OCTA della società dovrebbe deliberatamente scegliere di consentire questo felback nella forma debole di MFA. In questo modo, l’attacco è classificato più accuratamente come un attacco di downgrade di Feedo, non bypass.
