Pratite nas preko RSS-aPasskey nije neosvojiva tvrđava: evo kako prevaranti mogu da zaobiđu ovu zaštitu i hakuju nalog
Vesti, 13.08.2025, 13:00 PM
Iako se passkey tehnologija promoviše kao sigurnija alternativa lozinkama, otpornija na fišing, istraživači iz kompanije Proofpoint upozoravaju da sajber kriminalci mogu jednostavno zaobići ovu metodu autentifikacije i primorati korisnike da se vrate na stariji, manje siguran način prijave.
Korisnici ne bi trebalo da gaje iluzije da je njihov nalog bezbedniji samo zato što koriste passkey. Barem ne dok stare metode autentifikacije još uvek rade.
Istraživači Proofpointa su pokazali kako napadači mogu lako da zaobiđu ovu metodu autentifikacije.
Problem je u tome što cloud usluge provere identiteta, poput Microsoft Entra ID, ne podržavaju FIDO2 passkey prijavu na svim kombinacijama operativnih sistema, veb pregledača i drugih programa. Na primer, pristup Microsoft nalogu pomoću passkey ne funkcioniše u Safariju na Windowsu ili Firefoxu na Androidu.
Napadač može iskoristiti ovo tako što će fišing napadom lažirati „nepodržani“ pregledač, čime žrtvu primorava da izabere drugi metod prijave - obično lozinku sa MFA ili čak bez MFA zaštite. Kada se korisnik prijavi preko fišing stranice, napadač dobija korisničke podatke i kolačiće sesije, što mu omogućava da preuzme nalog bez ponovne autentifikacije.
Potencijalni napad bi počeo kao i svi drugi fišing napadi: sa fišing linkom dostavljenim putem imejla, PDF prilogom, SMS-om, OAuth zahtevom za saglasnost ili putem bilo kog drugog komunikacionog kanala.
„Kada meta padne na fišing mamac i klikne na URL, prikazuje joj se poruka o grešci, koja je podstiče da izabere alternativni metod prijavljivanja“, objašnjava Proofpoint. Ako žrtva izabere „druge načine prijavljivanja“, Microsoftov zahtev za autorizaciju će ponuditi različite opcije za prijavljivanje, i bilo koja druga metoda sa liste će funkcionisati.
Kada žrtva završi autentifikaciju preko lažnog interfejsa, hakeri će dobiti podatke za prijavljivanje i kolačić sesije, kao što bi se to desilo u bilo kom drugom standardnom fišing napadu.
„Na kraju, napadač može da otme autentifikacionu sesiju uvozom ukradenog kolačića sesije u svoj pregledač, čime dobija pristup nalogu žrtve bez potrebe da unosi bilo kakve podatke ili prolazi MFA izazov“, upozoravaju istraživači.
Proofpoint navodi da se ova tehnika, poznata kao „downgrade napad“, može primeniti i na druge implementacije passkey-a, a iako zasad nema dokaza o masovnoj zloupotrebi, rizik postoji dok god stariji načini prijave ostaju aktivni.
Izdvojeno
„Putevi Srbije“ upozoravaju na lažne SMS poruke o neplaćenoj putarini i prekoračenju brzine
Javno preduzeće „Putevi Srbije“ ponovo je upozorilo građane na zlonamerne SMS poruke koje se šalju u njihovo ime, a u kojima se tvrdi d... Dalje
Google Chrome prelazi na dvonedeljni ciklus izdanja
Google je najavio da će Chrome preći sa četvoronedeljnog na dvonedeljni ciklus objavljivanja, što znači da će nove funkcije, ispravke grešaka i... Dalje
Lažni Zoom i Google Meet linkovi instaliraju softver za nadzor na Windows računarima
Istraživači iz kompanije Malwarebytes upozoravaju na fišing kampanju koja koristi Zoom i Google Meet sastanke kako bi korisnike navela da instalira... Dalje
Napadi podržani veštačkom inteligencijom gotovo udvostručeni u 2025.
Broj sajber napada u kojima su napadači koristili veštačku inteligenciju gotovo se udvostručio tokom 2025. godine, navodi se u najnovijem izvešta... Dalje
Microsoft potvrdio da je Copilot zbog greške obrađivao poverljive mejlove
Microsoft je potvrdio da je softverska greška u Microsoft 365 Copilot Chat omogućila AI asistentu da sumira poverljive mejlove, čak i kada su bile ... Dalje
Pratite nas
Nagrade
Prijatelji
