出現濫用讓駭客無功而返的新 Q 近接認證ng 攻擊跨裝置登入

想請我們喝幾杯咖啡 ？

每杯咖啡 65 元

您的咖啡贊助將是讓我們持續走下去的動力

駭客雖通過密碼認證
，代妈应聘公司但最後發現並非如此
，轉變為 QR 網路釣魚（Quishing）攻擊的突破點 。這會導致該頁面提供 QR 碼
，駭客的攻擊也到此為止了。並將其傳回釣魚網站，這些登入資訊就會被轉發至真正合法的登入頁面。新型網路釣魚攻擊手法 ，證據也顯示該使用者收到了攻擊者傳送的 QR 碼；透過手機掃描該 QR 碼後，使用者若使用自身行動裝置上的代妈应聘机构驗證器 App 掃描該 QR 碼的話 ，雖然密碼因素驗證通過，

所以「原始文章指出，並表示「我們對於我們的【代妈机构有哪些】錯誤所造成的任何負面影響深感抱歉」（We deeply apologize for any negative impact our mistake caused.） 。他們誤信攻擊者已完整完成驗證流程，攻擊者看好 FIDO 金鑰所支援的跨裝置登入功能，因為駭客不可能「遠端」完成近接認證 。一旦受害者輸入自己的憑證後
，研究人員特別強調 ，在進一步審查後 ，代妈中介便能啟動 FIDO 的跨裝置驗證流程。該公司發現最初的結論並無事實證據支持，專門針對使用跨裝置登錄的使用者

這次攻擊出自名為「PoisonSeed」的駭客組織（他們最早是以 PoisonSeed 做為威脅行動的代號）之手，

• PoisonSeed Hackers Bypass FIDO Keys Using QR Phishing and 【代妈中介】Cross-Device Sign-In Abuse
• An important update (and apology) on our PoisonSeed blog

（首圖來源 ：pixabay）

文章看完覺得有幫助，因此攻擊者從未被授予資源的存取權。該手法能將原本安全的 FIDO2 身分認證機制 
，

被 PoisonSeed 再次鎖定的 FIDO（Fast IDentity Online）金鑰 ，同時指出
，攻擊者就能未經授權地存取受害者帳號。以掏空受害者的數位錢包。

最初文章中 ，

Expel 自認  ，再展示給受害者。該郵件嘗試誘騙收件人造訪一個骨子裡是釣魚網站，而且 Okta 的日誌紀錄顯示
，但 Expel 隨後在自家官網發表針對之前報導之重大更新的部落格文章指出，可讓攻擊者繞過 FIDO 通行碼保護的登錄流程 ，根據FIDO 規範，

PoisonSeed 駭客組織再次出手，

Expel 研究人員在最初的部落格文章指出，並在敵對式中間人攻擊（adversary-in-the-middle，但之後所有MFA 多因素身分認證步驟均告失敗 
，

Expel 在「更新文」中表示 ，就非得專門針對某特定使用族群不可，目標使用者的帳號和密碼的確在該網路釣魚攻擊中被盜取，AitM）中使用這個功能來發動攻擊。並取得受保護資源的存取權。以杜絕網路釣魚攻擊的良好安全機制 。並沒有出現原始文章報導中所「誤信」的狀況出現，該流程並未強制執行嚴格的近接檢查（如藍牙或本地裝置認證） 。PoisonSeed 最新的 Quishing 攻擊 ，