降级攻击技术原理
采用FIDO密钥保护的账户通常能抵御钓鱼攻击,但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。攻击者通过诱导用户采用安全性较低的认证方式实现入侵。
研究人员的突破点在于:并非所有网络浏览器都支持FIDO密钥(例如Windows系统下的Safari浏览器)。Proofpoint表示:"网络罪犯可改造中间人攻击(AiTM)框架,伪装成FIDO实现方案无法识别的用户代理,迫使用户转而采用低安全性的认证方式。"
为验证攻击可行性,Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞,是因为配置FIDO认证的用户账户通常会将多因素认证(MFA)作为备用登录方案。
攻击实施流程
安全专家还原了完整的攻击链条:
- 攻击者通过电子邮件、短信或OAuth请求向目标发送钓鱼链接
- 受害者点击恶意链接后,系统会返回认证错误并建议采用替代登录方式
- 当用户通过伪造界面完成登录时,其凭证数据和会话Cookie即遭窃取
- 攻击者可借此劫持会话,完全控制目标账户,进而实施数据窃取或横向渗透
新型威胁预警
尽管目前尚未发现该技术被实际用于网络犯罪,Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称:"随着越来越多机构采用FIDO等'防钓鱼'认证方案,攻击者极可能将FIDO认证降级技术整合进其攻击链条。"
