Pratite nas preko RSS-aPasskey nije neosvojiva tvrđava: evo kako prevaranti mogu da zaobiđu ovu zaštitu i hakuju nalog
Vesti, 13.08.2025, 13:00 PM
Iako se passkey tehnologija promoviše kao sigurnija alternativa lozinkama, otpornija na fišing, istraživači iz kompanije Proofpoint upozoravaju da sajber kriminalci mogu jednostavno zaobići ovu metodu autentifikacije i primorati korisnike da se vrate na stariji, manje siguran način prijave.
Korisnici ne bi trebalo da gaje iluzije da je njihov nalog bezbedniji samo zato što koriste passkey. Barem ne dok stare metode autentifikacije još uvek rade.
Istraživači Proofpointa su pokazali kako napadači mogu lako da zaobiđu ovu metodu autentifikacije.
Problem je u tome što cloud usluge provere identiteta, poput Microsoft Entra ID, ne podržavaju FIDO2 passkey prijavu na svim kombinacijama operativnih sistema, veb pregledača i drugih programa. Na primer, pristup Microsoft nalogu pomoću passkey ne funkcioniše u Safariju na Windowsu ili Firefoxu na Androidu.
Napadač može iskoristiti ovo tako što će fišing napadom lažirati „nepodržani“ pregledač, čime žrtvu primorava da izabere drugi metod prijave - obično lozinku sa MFA ili čak bez MFA zaštite. Kada se korisnik prijavi preko fišing stranice, napadač dobija korisničke podatke i kolačiće sesije, što mu omogućava da preuzme nalog bez ponovne autentifikacije.
Potencijalni napad bi počeo kao i svi drugi fišing napadi: sa fišing linkom dostavljenim putem imejla, PDF prilogom, SMS-om, OAuth zahtevom za saglasnost ili putem bilo kog drugog komunikacionog kanala.
„Kada meta padne na fišing mamac i klikne na URL, prikazuje joj se poruka o grešci, koja je podstiče da izabere alternativni metod prijavljivanja“, objašnjava Proofpoint. Ako žrtva izabere „druge načine prijavljivanja“, Microsoftov zahtev za autorizaciju će ponuditi različite opcije za prijavljivanje, i bilo koja druga metoda sa liste će funkcionisati.
Kada žrtva završi autentifikaciju preko lažnog interfejsa, hakeri će dobiti podatke za prijavljivanje i kolačić sesije, kao što bi se to desilo u bilo kom drugom standardnom fišing napadu.
„Na kraju, napadač može da otme autentifikacionu sesiju uvozom ukradenog kolačića sesije u svoj pregledač, čime dobija pristup nalogu žrtve bez potrebe da unosi bilo kakve podatke ili prolazi MFA izazov“, upozoravaju istraživači.
Proofpoint navodi da se ova tehnika, poznata kao „downgrade napad“, može primeniti i na druge implementacije passkey-a, a iako zasad nema dokaza o masovnoj zloupotrebi, rizik postoji dok god stariji načini prijave ostaju aktivni.
Izdvojeno
Nova runda GhostPoster kampanje: još 17 zlonamernih ekstenzija zarazilo 840.000 pregledača
Bezbednosni istraživači otkrili su još 17 zlonamernih ekstenzija povezanih sa kampanjom GhostPoster, koje su se širile kroz prodavnice dodataka za... Dalje
Reprompt: nova tehnika napada neprimetno izvlači podatke iz AI četbotova
Bezbednosni istraživači otkrili su novu tehniku napada koja pokazuje kako AI četbotovi mogu biti izmanipulisani da otkriju osetljive podatke uz min... Dalje
Android botneti Kimwolf i Aisuru ostali bez komandnih servera
Istraživači iz Black Lotus Labs, odeljenja za analizu pretnji kompanije Lumen Technologies, uspeli su da ugase veliki deo infrastrukture botneta Kim... Dalje
Google objavio hitno upozorenje o privatnosti za 1,5 milijardi korisnika Google Photos
Google je izdao upozorenje za oko 1,5 milijardi korisnika Google Photos servisa, nakon optužbi da kompanija koristi fotografije korisnika za obučava... Dalje
Hakeri koriste novi trik za krađu Facebook naloga
Tokom poslednjih šest meseci, sajber kriminalci sve intenzivnije koriste tzv. „browser-in-the-browser“ (BitB) tehniku kako bi prevarili k... Dalje
Pratite nas
Nagrade
Prijatelji
