Pratite nas preko RSS-aPasskey nije neosvojiva tvrđava: evo kako prevaranti mogu da zaobiđu ovu zaštitu i hakuju nalog
Vesti, 13.08.2025, 13:00 PM
Iako se passkey tehnologija promoviše kao sigurnija alternativa lozinkama, otpornija na fišing, istraživači iz kompanije Proofpoint upozoravaju da sajber kriminalci mogu jednostavno zaobići ovu metodu autentifikacije i primorati korisnike da se vrate na stariji, manje siguran način prijave.
Korisnici ne bi trebalo da gaje iluzije da je njihov nalog bezbedniji samo zato što koriste passkey. Barem ne dok stare metode autentifikacije još uvek rade.
Istraživači Proofpointa su pokazali kako napadači mogu lako da zaobiđu ovu metodu autentifikacije.
Problem je u tome što cloud usluge provere identiteta, poput Microsoft Entra ID, ne podržavaju FIDO2 passkey prijavu na svim kombinacijama operativnih sistema, veb pregledača i drugih programa. Na primer, pristup Microsoft nalogu pomoću passkey ne funkcioniše u Safariju na Windowsu ili Firefoxu na Androidu.
Napadač može iskoristiti ovo tako što će fišing napadom lažirati „nepodržani“ pregledač, čime žrtvu primorava da izabere drugi metod prijave - obično lozinku sa MFA ili čak bez MFA zaštite. Kada se korisnik prijavi preko fišing stranice, napadač dobija korisničke podatke i kolačiće sesije, što mu omogućava da preuzme nalog bez ponovne autentifikacije.
Potencijalni napad bi počeo kao i svi drugi fišing napadi: sa fišing linkom dostavljenim putem imejla, PDF prilogom, SMS-om, OAuth zahtevom za saglasnost ili putem bilo kog drugog komunikacionog kanala.
„Kada meta padne na fišing mamac i klikne na URL, prikazuje joj se poruka o grešci, koja je podstiče da izabere alternativni metod prijavljivanja“, objašnjava Proofpoint. Ako žrtva izabere „druge načine prijavljivanja“, Microsoftov zahtev za autorizaciju će ponuditi različite opcije za prijavljivanje, i bilo koja druga metoda sa liste će funkcionisati.
Kada žrtva završi autentifikaciju preko lažnog interfejsa, hakeri će dobiti podatke za prijavljivanje i kolačić sesije, kao što bi se to desilo u bilo kom drugom standardnom fišing napadu.
„Na kraju, napadač može da otme autentifikacionu sesiju uvozom ukradenog kolačića sesije u svoj pregledač, čime dobija pristup nalogu žrtve bez potrebe da unosi bilo kakve podatke ili prolazi MFA izazov“, upozoravaju istraživači.
Proofpoint navodi da se ova tehnika, poznata kao „downgrade napad“, može primeniti i na druge implementacije passkey-a, a iako zasad nema dokaza o masovnoj zloupotrebi, rizik postoji dok god stariji načini prijave ostaju aktivni.
Izdvojeno
Grok otkriva kućne adrese običnih ljudi i daje savete za uhođenje
Grok, AI četbot kompanije xAI Elona Maska, ponovo je pokazao zabrinjavajuće ponašanje, ovog puta tako što je na zahtev korisnika otkrivao kućne a... Dalje
Predator: najopasniji špijunski softver na svetu se instalira preko običnih oglasa
Jedan jedini oglas učitan na sasvim legitimnom sajtu ili u aplikaciji dovoljan je da instalira Intellexin Predator, jedan od najnaprednijih komercija... Dalje
ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika
ClickFix napadi beleže dramatičan rast od čak 517%. Iako naizgled jednostavan “copy-paste” trik, ovaj napad je postao je ozbiljna pretn... Dalje
Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja
Istraživači iz kompanije Koi Security upozoravaju na opsežnu i izuzetno dobro prikrivenu kampanju koja je zarazila uređaje 4,3 miliona korisnika v... Dalje
Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima
Ako niste skoro proveravali da li su vaše lozinke negde procurele, sada je pravi trenutak. U javnosti se pojavilo 1,3 milijarde jedinstvenih lozinki ... Dalje
Pratite nas
Nagrade
Prijatelji
