Hackers aprenderam a contornar a autenticação multifator FIDO

Cibercriminosos descobriram uma maneira de roubar credenciais de login para sites, mesmo quando tais logins envolvem inicialmente chaves físicas. Para isso, eles usam um mecanismo de backup para login via códigos QR, que só funciona em determinados cenários.

Fonte da imagem: charlesdeluvio/unsplash.com

Chaves FIDO são dispositivos de autenticação de hardware ou software que utilizam soluções criptográficas para efetuar login com segurança em sites e aplicativos. Elas atuam como ferramentas de autenticação multifator que impedem que hackers acessem contas alvo, mesmo que tenham acesso às credenciais. Na maioria dos casos, um autenticador precisa estar fisicamente conectado para usá-lo; no entanto, alguns casos incluem um mecanismo de leitura de código QR, que é suscetível a ser hackeado por meio de um ataque man-in-the-middle (AitM).

O estágio inicial do ataque é um e-mail de phishing, explicaram especialistas em segurança cibernética da Expel. Ao clicar em um link nesse e-mail, você é direcionado a uma página de destino que imita a aparência e as funções de um procedimento de autorização padrão. Normalmente, após inserir as credenciais, é necessário conectar uma chave FIDO física, mas, no cenário dos hackers, um código QR é exibido para a potencial vítima. A ativação emergencial do método de login de backup é provocada artificialmente – em segundo plano, os invasores solicitam “login de vários dispositivos”. Quando a vítima escaneia o código QR, o login ocorre e os cibercriminosos entram no sistema com sucesso.

A melhor maneira de se proteger contra esse tipo de ataque é habilitar a verificação de proximidade via Bluetooth, para que os códigos QR funcionem apenas em smartphones próximos ao computador do usuário. Você também pode treinar os funcionários da sua empresa para identificar páginas de login suspeitas, por exemplo, por URL. Por fim, outro indicador de invasão pode ser autorizações suspeitas usando códigos QR e novos registros FIDO – estes podem ser rastreados pelo departamento relevante da empresa.