Chiến dịch tấn công nhắm tới xác thực qua khoá FIDO

Mới đây, các nhà nghiên cứu thuộc EXPEL - một công ty bảo mật cung cấp dịch vụ giám sát, phát hiện và phản ứng với các mối đe doạ an ninh mạng 24/7, đã công bố trên trang web của mình về một chiến dịch tấn công nhắm tới phương thức xác thực thông qua khoá FIDO.

Xác thực bằng khoá FIDO (Fast IDentity Online) là công cụ xác thực đa lớp (MFA) dựa trên phần cứng do FIDO Alliance phát triển, cho phép người dùng đăng nhập vào tài khoản mà không cần nhập mật khẩu, đóng vai trò như một lớp xác thực thứ hai (2FA) thông qua các phương thức xác thực như cảm biến vân tay, nhận diện khuôn mặt, mã PIN lưu trữ trên máy,…

Ngoài ra, một tính năng khác khiến xác thực bằng khoá FIDO được tin cậy do khả năng chống phishing của phương thức. Cụ thể, khi người dùng đăng ký khoá FIDO với một trang web, một cặp khoá công khai/bí mật riêng biệt được FIDO tạo ra gắn với chính domain được đăng ký. Điều này đảm bảo an toàn cho người dùng do FIDO chỉ phản hồi duy nhất với website được đăng ký trước đó, bảo vệ khỏi nguy cơ mất tài khoản khi người dùng bị lừa truy cập tới các đường dẫn giả mạo.

Tuy nhiên, theo báo cáo mới đây được đăng tải trên blog, các nhà nghiên cứu bảo mật của EXPEL đã cảnh báo về một chiến dịch tấn công social engineering nhắm tới phương thức xác thực này. Lợi dụng tính năng đăng nhập trên nhiều thiết bị được FIDO hỗ trợ, các tin tặc đã thành công bypass được lớp xác thực này bằng cách chen vào giữa phiên xác thực của người dùng với dịch vụ thật bằng AitM (Adversary-in-the-Middle), một kỹ thuật mà kẻ tấn công thường tạo một proxy trung gian giữa người dùng và dịch vụ hợp pháp để đánh cắp phiên đăng nhập (session hijacking).

Hình 1: Chuỗi tấn công nhắm vào khoá FIDO

Chuỗi tấn công của tin tặc được tổng hợp như sau:

• Bước 1: Tin tặc gửi tới người dùng một email phishing. Email này giả mạo như một email từ các công ty hoặc các dịch vụ hợp pháp, dẫn dụ người dùng truy cập tới website giả mạo.

• Bước 2: Người dùng sau khi truy cập tới website giả mạo được yêu cầu nhập thông tin đăng nhập. Các thông tin người dùng nhập vào được ghi nhận, sau đó được chuyển tới trang đăng nhập chính thống một cách tự động.

• Bước 3: Website giả mạo gửi yêu cầu hệ thống sử dụng phương thức xác thực thông qua quét mã QR. Sau khi trang đăng nhập chính thống đồng ý và phản hồi lại mã QR, ngay lập tức mã QR này được chuyển về hiển thị tại trang phishing cho người dùng.

• Bước 4: Ngay sau khi người dùng quét mã QR trên và phiên đăng nhập được chấp nhận, kẻ tấn công đã chiếm được quyền truy cập vào tài khoản của người dùng do đã chiếm được phiên đăng nhập thật.

Khắc phục & Khuyến nghị

Mặc dù khoá FIDO vẫn là cách bảo vệ tài khoản rất an toàn, tuy nhiên người dùng cần sử dụng chúng đúng cách và cảnh giác trước các thủ đoạn lừa đảo tinh vi của tin tặc trên không gian mạng hiện nay. Một số biện pháp có thể áp dụng nhằm giảm thiểu, phòng tránh như sau:

1. Không truy cập tới các liên kết lạ: Không truy cập tới bất kỳ liên kết được đính kèm trong các email không rõ nguồn gốc. Ngoài ra cần kiểm tra kỹ các trang web được chuyển hướng tới do tin tặc thường sử dụng kỹ thuật giả mạo tên miền (Typosquatting) trong các website phishing nhằm đánh lừa người dùng.

2. Không chia sẻ khoá FIDO: Tuyệt đối không chia sẻ khoá FIDO. Trường hợp người dùng bị mất khoá hoặc mất quyền kiểm soát truy cập vào khoá, cần báo ngay cho bộ phận hỗ trợ để được khắc phục.

3. Sử dụng dịch vụ bảo mật: Người dùng có thể sử dụng các dịch vụ bảo mật nâng cao như giám sát 24/7, phân tích nhật ký dịch vụ,… để phát hiện sớm các hành vi yêu cầu xác thực bất thường, từ đó ngăn chặn và phòng chống các cuộc tấn công một cách hiệu quả hơn.

Tham khảo

1. PoisonSeed downgrading FIDO key authentications to 'fetch' user accounts | Expel