Passkey nije neosvojiva tvrđava: evo kako prevaranti mogu da zaobiđu ovu zaštitu i hakuju nalog

Vesti, 13.08.2025, 13:00 PM

Passkey nije neosvojiva tvrđava: evo kako prevaranti mogu da zaobiđu ovu zaštitu i hakuju nalog

Iako se passkey tehnologija promoviše kao sigurnija alternativa lozinkama, otpornija na fišing, istraživači iz kompanije Proofpoint upozoravaju da sajber kriminalci mogu jednostavno zaobići ovu metodu autentifikacije i primorati korisnike da se vrate na stariji, manje siguran način prijave.

Korisnici ne bi trebalo da gaje iluzije da je njihov nalog bezbedniji samo zato što koriste passkey. Barem ne dok stare metode autentifikacije još uvek rade.

Istraživači Proofpointa su pokazali kako napadači mogu lako da zaobiđu ovu metodu autentifikacije.

Problem je u tome što cloud usluge provere identiteta, poput Microsoft Entra ID, ne podržavaju FIDO2 passkey prijavu na svim kombinacijama operativnih sistema, veb pregledača i drugih programa. Na primer, pristup Microsoft nalogu pomoću passkey ne funkcioniše u Safariju na Windowsu ili Firefoxu na Androidu.

Napadač može iskoristiti ovo tako što će fišing napadom lažirati „nepodržani“ pregledač, čime žrtvu primorava da izabere drugi metod prijave - obično lozinku sa MFA ili čak bez MFA zaštite. Kada se korisnik prijavi preko fišing stranice, napadač dobija korisničke podatke i kolačiće sesije, što mu omogućava da preuzme nalog bez ponovne autentifikacije.

Potencijalni napad bi počeo kao i svi drugi fišing napadi: sa fišing linkom dostavljenim putem imejla, PDF prilogom, SMS-om, OAuth zahtevom za saglasnost ili putem bilo kog drugog komunikacionog kanala.

„Kada meta padne na fišing mamac i klikne na URL, prikazuje joj se poruka o grešci, koja je podstiče da izabere alternativni metod prijavljivanja“, objašnjava Proofpoint. Ako žrtva izabere „druge načine prijavljivanja“, Microsoftov zahtev za autorizaciju će ponuditi različite opcije za prijavljivanje, i bilo koja druga metoda sa liste će funkcionisati.

Kada žrtva završi autentifikaciju preko lažnog interfejsa, hakeri će dobiti podatke za prijavljivanje i kolačić sesije, kao što bi se to desilo u bilo kom drugom standardnom fišing napadu.

„Na kraju, napadač može da otme autentifikacionu sesiju uvozom ukradenog kolačića sesije u svoj pregledač, čime dobija pristup nalogu žrtve bez potrebe da unosi bilo kakve podatke ili prolazi MFA izazov“, upozoravaju istraživači.

Proofpoint navodi da se ova tehnika, poznata kao „downgrade napad“, može primeniti i na druge implementacije passkey-a, a iako zasad nema dokaza o masovnoj zloupotrebi, rizik postoji dok god stariji načini prijave ostaju aktivni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

„Putevi Srbije“ upozoravaju na lažne SMS poruke o neplaćenoj putarini i prekoračenju brzine

„Putevi Srbije“ upozoravaju na lažne SMS poruke o neplaćenoj putarini i prekoračenju brzine

Javno preduzeće „Putevi Srbije“ ponovo je upozorilo građane na zlonamerne SMS poruke koje se šalju u njihovo ime, a u kojima se tvrdi d... Dalje

Google Chrome prelazi na dvonedeljni ciklus izdanja

Google Chrome prelazi na dvonedeljni ciklus izdanja

Google je najavio da će Chrome preći sa četvoronedeljnog na dvonedeljni ciklus objavljivanja, što znači da će nove funkcije, ispravke grešaka i... Dalje

Lažni Zoom i Google Meet linkovi instaliraju softver za nadzor na Windows računarima

Lažni Zoom i Google Meet linkovi instaliraju softver za nadzor na Windows računarima

Istraživači iz kompanije Malwarebytes upozoravaju na fišing kampanju koja koristi Zoom i Google Meet sastanke kako bi korisnike navela da instalira... Dalje

Napadi podržani veštačkom inteligencijom gotovo udvostručeni u 2025.

Napadi podržani veštačkom inteligencijom gotovo udvostručeni u 2025.

Broj sajber napada u kojima su napadači koristili veštačku inteligenciju gotovo se udvostručio tokom 2025. godine, navodi se u najnovijem izvešta... Dalje

Microsoft potvrdio da je Copilot zbog greške obrađivao poverljive mejlove

Microsoft potvrdio da je Copilot zbog greške obrađivao poverljive mejlove

Microsoft je potvrdio da je softverska greška u Microsoft 365 Copilot Chat omogućila AI asistentu da sumira poverljive mejlove, čak i kada su bile ... Dalje