PoisonSeed 利用二維碼誘騙用戶繞過 FIDO 金鑰
資安研究機構 Expel 揭露一項名為「PoisonSeed」的新式社交工程攻擊技術,專門針對以 FIDO2 為代表的實體安全金鑰驗證流程。本次攻擊並未破解金鑰本身,而是透過誘導使用者使用 QR Code 完成跨裝置登入,成功繞過原本需插入或碰觸安全金鑰的驗證步驟。
攻擊流程詳解
釣魚網站誘導受害者輸入帳密:使用者首先瀏覽一個偽造的 Okta 登入頁面,輸入帳號密碼後,資料被轉交至真實服務平台確認身份資訊。
真實平台顯示 QR 碼:真實 Okta 伺服器因偵測到帳密被使用,啟動跨裝置登入流程,出現 QR Code。攻擊者截圖後轉交至釣魚站顯示給使用者掃描。
使用者掃描但非實際允許跨裝置登入:受害者誤以為是在授權自己,掃描 QR Code 後反而允許了攻擊者的登入請求,完成驗證流程。
系統漏洞與攻擊心理學
濫用「跨裝置登入」設計:該功能本為提升行動裝置體驗,但被轉化為攻擊漏洞,攻擊者並不需破解金鑰,只須誘導使用者互動觸發流程 。
- 利用使用者信任與疏忽:QR Code 常給人便利、無害的印象,因此較難察覺其背後的驗證風險。
附加攻擊變種
Expel 同時報告另一類型攻擊:駭客先重置受害者密碼,再自行註冊新的 FIDO Key 於帳戶—這是不靠社工,直接搶註註冊金鑰的完全控制方式。
防禦建議
- 持續監控異常登入與金鑰註冊行為:若發現短期內新增多把金鑰或不同地域登入,應立即採取行動。
- 限制登入地理範圍:設置僅信任特定國家或區段 IP。
- 開啟藍牙近端認證限制:跨裝置登入必須在物理近距離內完成,避免遠端操作。
PoisonSeed 展現駭客如何利用合法功能進行社工程,繞過表面最安全的認證方式。與一般資訊安全觀念相反,是不是技術上的突破,而是「使用者互動流程」的濫用。防範重點應放在「流程安全」與使用者訓練,而非僅依賴安全金鑰本身。資安團隊應檢視現有 FIDO/MFA 流程,並加入「異常登錄警示機制」、「沒掃 QR 就不授權」,及「跨裝置驗證地理限制」等控管,才能有效堵住此類攻擊。
資料來源:https://hackread.com/poisonseed-trick-users-bypassing-fido-keys-qr-codes/