Сегодня 22 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры научились обходить многофакторную авторизацию FIDO

Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях.

 Источник изображения: charlesdeluvio / unsplash.com

Источник изображения: charlesdeluvio / unsplash.com

Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM).

Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему.

Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Китайцы утратят контроль над американским TikTok после сделки с США — лишь 1 из 7 мест в совете директоров достанется ByteDance 14 ч.
Новая статья: Hell is Us — прекрасная диковинка. Рецензия 21-09 00:03
Jaguar Land Rover уже три недели не может запустить информационные системы после хакерского взлома 20-09 15:02
Microsoft представила радужный отчёт о Windows Arm, но основную проблему «замела под ковёр» 20-09 14:28
Microsoft «тестирует» ещё одну кнопку Copilot в Windows 11 20-09 14:26
Xiaomi раскрыла перечень, из которого ясно, какие устройства перейдут на HyperOS 3 и когда 20-09 11:13
Дональд Трамп планирует взыскать несколько миллиардов долларов с участников сделки по TikTok 20-09 05:59
Трамп заявил, что сделка с TikTok в целом одобрена китайской стороной 20-09 05:26
Новая статья: Borderlands 4 — сквозь нюансы к звёздам. Рецензия 20-09 00:07
«Не планируем оставаться в долгу»: российский хоррор No, I’m not a Human порадовал разработчиков продажами 19-09 22:50
Новая статья: Обзор игрового ноутбука ASUS TUF Gaming A18 FA808UM (2025): любить вопреки 3 ч.
Хакеры нарушили работу европейских аэропортов, взломав софт для регистрации пассажиров 5 ч.
Schneider Electric готовит стойки NVIDIA GB300 NVL72 мощностью 142 кВт 13 ч.
В Германии запущена квантово-классическая система с суперчипами NVIDIA GH200 14 ч.
Трамп внезапно ударил по американским ИТ-гигантам — рабочие визы США для инженеров подорожают в 100 раз 20 ч.
Meta намерена стать энергокомпанией и продавать электричество — Amazon, Google и Microsoft уже делают то же самое 21-09 01:35
Meta готова потратить $20 млрд на аренду ИИ-мощностей у Oracle 21-09 01:05
Инопланетяне могут прослушивать наши радиосообщения на удалении десятков световых лет, выяснило NASA 20-09 20:49
Apple не обманула: iPhone Air подтвердил статус самого прочного смартфона компании 20-09 19:02
Предзаказы на Apple iPhone 17 бьют рекорды в России 20-09 16:10