Дослідники безпеки повідомили про нову техніку фішингової атаки, яка може знизити рівень захисту системи багатофакторної автентифікації (MFA) на основі FIDO (Fast Identity Online). Цей стандарт, який зараз активно впроваджується на тисячах веб-сайтів та підприємств, вважається надійним захистом від фішингових атак.
Атака була описана у блозі компанії безпеки Expel. За їхніми словами, метод починається з електронного листа, що містить посилання на підроблену сторінку входу Okta — популярного постачальника автентифікації. Користувачі, які вводять свої дані, насправді допомагають зловмисникам отримати доступ до своїх акаунтів.
FIDO спеціально розроблений для захисту від таких сценаріїв, вимагаючи додаткового фактору автентифікації, як-от фізичний ключ безпеки або passkey. Один із способів надати цей додатковий фактор — використання функції входу на кількох пристроях. Якщо на пристрої, з якого користувач намагається увійти, немає passkey, він може використати passkey, що вже зберігається на іншому пристрої, наприклад, телефоні.
Ця атака, за словами Expel, більше нагадує атаку на зниження рівня захисту, а не обходження системи FIDO, оскільки вона зменшує рівень безпеки, замість того, щоб повністю його ігнорувати.