PoisonSeed-Angreifer umgehen FIDO2-MFA mit raffinierter Phishing-Taktik

Cyberkriminelle haben eine neue Methode entwickelt, um die starke Zwei-Faktor-Authentifizierung (MFA) mittels FIDO2-Sicherheitsschlüsseln zu umgehen. In aktuellen Phishing-Kampagnen setzen sie gezielt auf eine Herabstufung der Authentifizierung, um Zugriff auf Benutzerkonten zu erlangen – ohne eine tatsächliche Schwachstelle in der FIDO2-Technologie auszunutzen.

Wie das Sicherheitsunternehmen Expel berichtet, machen sich die Angreifer eine legitime Funktion von WebAuthn zunutze: die geräteübergreifende Anmeldung. Dabei werden Nutzer dazu verleitet, QR-Codes mit ihren MFA-Apps zu scannen, was den Angreifern ermöglicht, Anmeldeanfragen über gefälschte Unternehmensportale scheinbar legitim zu machen – mit dem Ziel, die Zustimmung zur Authentifizierung zu erschleichen.

Die PoisonSeed-Phishing-Kampagnen sind vor allem für groß angelegte Phishing-Angriffe im Finanzbereich bekannt. In der Vergangenheit verschickten die Täter etwa E-Mails mit manipulierten Wiederherstellungsphrasen für Kryptowährungs-Wallets, um digitale Vermögenswerte zu stehlen.

Die aktuelle Angriffswelle zeigt, dass selbst moderne MFA-Verfahren wie FIDO2 durch geschicktes Social Engineering unterlaufen werden können – ein erneuter Beleg dafür, wie wichtig Sensibilisierung und Wachsamkeit im Umgang mit Anmeldeanfragen sind.

• Angreifer haben herausgefunden, wie sie die FIDO-Schlüsselauthentifizierung herabstufen können, wenn sie Konten kompromittieren
• Diese Technik wird in Phishing-Angriffen eingesetzt
• Bei dem Angriff wird ein Benutzer dazu verleitet, einen QR-Code mit einem MFA-Authentifikator zu scannen

Warnung von Expel: Ihr Security Operations Center (SOC) hat eine neuartige Angriffstechnik identifiziert, bei der Cyberkriminelle Social Engineering einsetzen, um selbst robuste Multi-Faktor-Authentifizierung (MFA) mit FIDO-Schlüsseln zu umgehen. Dabei machen sich die Angreifer eine Funktion zunutze, die eigentlich der Benutzerfreundlichkeit dient – die geräteübergreifende Anmeldung mit FIDO-Keys, etwa via Smartphone.

Durch eine sogenannte Man-in-the-Middle-Attacke (AitM) gelingt es den Tätern, sich zwischen Nutzer und Zielsystem zu schalten. Obwohl die zugrundeliegende Technik nicht auf eine Schwachstelle in der FIDO-Technologie selbst zurückzuführen ist, offenbart sie, wie selbst etablierte Sicherheitsmechanismen durch geschickte Täuschung ausgehebelt werden können.

Laut Expel gibt es Hinweise darauf, dass die berüchtigte Hackergruppe PoisonSeed hinter dem Angriff steckt. Die Gruppierung ist für umfangreiche Phishing-Kampagnen bekannt, bei denen es insbesondere auf Kryptowährungs-Wallets ihrer Opfer abgesehen hat. Die jetzt beobachtete Methode könnte allerdings weit über diesen Anwendungsfall hinaus eingesetzt werden.

FIDO-Schlüssel unter Druck

FIDO (Fast IDentity Online) gehört zu den fortschrittlichsten und sichersten Formen der hardwarebasierten MFA. Im Gegensatz zu weniger robusten Verfahren wie E-Mail- oder SMS-basierten Codes, die bei Verlust des entsprechenden Geräts kompromittiert werden können, bieten FIDO-Schlüssel und biometrische Verfahren ein höheres Sicherheitsniveau. Gründe dafür sind unter anderem die physische Einzigartigkeit biometrischer Daten sowie die kryptografische Architektur von Hardware-Tokens.

Diese Formen der Authentifizierung gelten als kaum duplizierbar – ein Vorteil, der sie zur bevorzugten Wahl für sicherheitsbewusste Unternehmen macht. Doch die Bedrohungslage entwickelt sich weiter.

Identitätsangriffe auf dem Vormarsch

Wie aus dem Expel Quarterly Threat Report für das erste Quartal 2025 hervorgeht, stehen identitätsbasierte Angriffe mittlerweile im Zentrum der meisten Sicherheitsvorfälle. 66,2 Prozent aller vom SOC untersuchten Fälle gingen auf das Konto solcher Attacken.

So funktioniert die geräteübergreifende Anmeldung – und wie Angreifer sie ausnutzen können

Normalerweise kann sich ein Nutzer auch dann erfolgreich anmelden, wenn er ein neues, bisher nicht registriertes Gerät verwendet – vorausgesetzt, er hat ein weiteres Authentifizierungsgerät eingerichtet. In der Regel handelt es sich dabei um eine App zur Multi-Faktor-Authentifizierung (MFA) auf einem Mobilgerät, die über einen QR-Code-Scanner verfügt. Nach der Eingabe von Benutzername und Passwort zeigt das Anmeldeportal einen QR-Code an. Dieser wird mit der MFA-App gescannt, woraufhin die App und das Portal miteinander kommunizieren und die Anmeldung verifizieren. Der Nutzer erhält anschließend Zugriff auf sein Konto.

Im beschriebenen Angriffsszenario gaben die Angreifer korrekte Anmeldedaten ein und lösten die geräteübergreifende Anmeldung aus. Das Anmeldeportal erzeugte einen QR-Code, der von der Phishing-Website abgefangen und an das Opfer zurückgespielt wurde. Der Nutzer scannte diesen Code auf der gefälschten Website mit seiner MFA-App. Dadurch kommunizierten Authentifikator und echtes Anmeldeportal miteinander – und die Angreifer erhielten Zugriff auf das Konto.

Auch wenn dieser Ablauf technisch anspruchsvoll wirkt, hebelt er den Schutz eines FIDO-Schlüssels effektiv aus. So gelangten die Angreifer in das kompromittierte Benutzerkonto und konnten potenziell auf alle damit verbundenen Anwendungen, sensiblen Daten und Werkzeuge zugreifen.

In diesem Fall wurden keine Hinweise auf weitere schädliche Aktivitäten entdeckt, die den FIDO-Authentifizierungsprozess beeinträchtigt oder eine aktive Sitzung erzeugt hätten. Es wurde empfohlen, alle mit dem Konto verbundenen Authentifizierungsgeräte zu überprüfen, laufende Benutzersitzungen zu beenden und sämtliche Passwörter der betroffenen Nutzer zurückzusetzen, um den unautorisierten Zugriff zu beenden.

PoisonSeed-Angriffsablauf zur Umgehung von FIDO2-Schutzmaßnahmen Quelle: Expel

Ein weiterer Vorfall mit FIDO-Schlüsseln

Leider ist dies nicht der einzige Vorfall, den Expel in letzter Zeit beobachtet hat, dass Kriminelle FIDO-Schlüssel missbrauchen, um die Kontrolle über das Konto eines Benutzers zu erlangen. „In einem anderen Fall, bei dem wir davon ausgehen, dass ein Konto durch eine Phishing-E-Mail kompromittiert wurde, hat ein Angreifer das Passwort des Benutzers zurückgesetzt und dann seinen eigenen FIDO-Schlüssel in dem Konto registriert. Besorgniserregend an diesem Vorfall ist, dass der Angreifer den Benutzer nicht in einem ausgeklügelten Prozess dazu gebracht hat, die Sitzungen des Angreifers zu genehmigen, sondern dies einfach wie einen weiteren Schritt in einem gewöhnlichen Angriff durchgeführt hat.“, schreiben Ben Nahorney und Brandon Overstreet (Expel).

FIDO-Schlüssel sind nicht völlig nutzlos

Die Zunahme von Angriffen auf FIDO-Schlüssel und deren Verwendung ändert nichts an der Tatsache, dass sie nach wie vor eine lohnende Investition für die Sicherheit von Konten sind. Allerdings müssen Sicherheitsteams nun einen weiteren Punkt auf ihre Checkliste setzen. Aber woran erkennt man verdächtige Aktivitäten?

Die Überprüfung der Protokolle Ihrer Authentifizierungsanwendungen ist ein guter Ausgangspunkt. Hier sind einige Bereiche, die Sie untersuchen können:

• Stammen Anmeldungen, die eine geräteübergreifende Anmeldung erfordern, von Standorten, von denen aus der Benutzer sich normalerweise anmeldet? Es kann sinnvoll sein, die geografischen Standorte, von denen aus sich Benutzer anmelden dürfen, einzuschränken und einen Registrierungsprozess für den Fall einzurichten, dass ein Benutzer an einen neuen Standort reist.
• Wurde ein Schlüssel von einem ungewöhnlichen geografischen Standort aus registriert? Generell ist es ratsam, nach der Registrierung unbekannter oder unerwarteter Schlüssel Ausschau zu halten. Wurden mehrere FIDO-Schlüssel für einen Benutzer registriert? Noch aussagekräftiger ist es, wenn mehrere Schlüssel kurz nacheinander registriert wurden.
• Sehen Sie unbekannte oder nicht seriöse Schlüsselmarken registriert? Wenn Ihr Unternehmen beispielsweise nur eine Marke von FIDO-Schlüsseln verwendet, sollten Sie nichts anderes sehen.

Bei der geräteübergreifenden Anmeldung steht eine zusätzliche Sicherheitsfunktion zur Verfügung: Sie können eine Bluetooth-Verbindung zwischen dem Mobilgerät mit dem MFA-Authentifikator und dem nicht registrierten Gerät, auf dem sich der Benutzer anmelden möchte, verlangen. Das bedeutet, dass sich der Benutzer beim Scannen des QR-Codes an dem System befinden muss, das sich beim Portal anmeldet. Durch Aktivieren dieser Funktion wird die Wahrscheinlichkeit, dass Angreifer diese AitM-Phishing-Attacke nutzen können, auf nahezu null reduziert.

AitM-Angriffe auf FIDO-Schlüssel und von Angreifern kontrollierte FIDO-Schlüssel sind nur die jüngsten Beispiele einer langen Reihe von Vorfällen, in denen Angreifer und Verteidiger im Kampf um die Kompromittierung bzw. den Schutz von Benutzerkonten immer neue Wege gehen. Seit einiger Zeit wird MFA als unverzichtbares Sicherheitsinstrument für den Fall eines Passwortdiebstahls angepriesen. Davor wurden starke Passwörter empfohlen, um zu verhindern, dass leicht zu erratende Passwörter den Zugriff ermöglichen. Und so weiter. Dieses Muster lässt sich wohl bis zur Einführung des Passworts selbst zurückverfolgen.

Dieser Angriff zeigt, wie Angreifer Wege finden, um phishing-resistente Authentifizierungsverfahren zu umgehen, indem sie Benutzer dazu verleiten, Anmeldevorgänge durchzuführen, bei denen keine physische Interaktion mit einem Sicherheitsschlüssel erforderlich ist.

Quelle: Expel

---