PoisonSeed: autenticazioni multi fattore a rischio
Come vengono aggirate le autenticazioni multi fattore su chiave FIDO2
PoisonSeed non è un attacco informatico come gli altri: non sfrutta falle tecniche, non installa malware, non forza crittografie, eppure riesce ad aggirare le chiavi FIDO2, considerate lo standard più sicuro per l’autenticazione multifattoriale.
Ancora una volta l’attacco parte colpendo l’anello più debole della catena: l’essere umano.
Avevamo da poco parlato di come molti sistemi di autenticazione fossero obsoleti e dei vantaggi delle chiavi token con protocolli aggiornati per proteggere meglio i propri asset e difendersi dalle minacce crescenti di Phishing ( Vedi articolo https://www.observere.com/2025/07/21/phishing-as-a-service-2025-come-lia-rende-piu-facile-truffare/ )
Innegabilmente, a fronte della solidità del sistema di difesa, i cybercriminali hanno puntato tutto sul fattore umano per aggirare mura e fossato.
La forza della leva psicologica
L’intera truffa si basa sul social engineering.
Un’email di phishing, che ricordiamo nuovamente in aumento, conduce l’utente verso una pagina di login clonata di un servizio che la vittima usa.
Dopo aver intercettato email e password, il sistema malevolo avvia in contemporanea una sessione legittima con il servizio reale, che – correttamente – richiede una seconda verifica tramite chiave FIDO.
A questo punto entra in gioco la funzione viene sfruttata la funzione standard che nelle opzioni di pagina e chiavetta permette di accedere inquadrando il QR code sulla pagina tramite il proprio telefono autorizzato.
L’attaccante cattura il QR code sulla pagina vera e lo rilancia alla vittima, che in buona fede lo scansiona col proprio smartphone, autenticando in realtà la sessione del cyber criminale.
In questa maniera l’hacker ottiene accesso completo all’account, senza bypassare le barriere tecnologiche.
La catena d’attacco: come funziona PoisonSeed
- Phishing: invio di una finta email per catturare credenziali.
- Login legittimo: uso delle credenziali rubate sul servizio reale.
- Richiesta QR code: attivazione della funzione FIDO cross-device.
- Relay del QR code: rilancio in tempo reale sul sito di phishing.
- Autenticazione involontaria: la vittima conferma inconsapevolmente l’accesso dell’attaccante.
Utente come anello debole
I token fisici AMF, in particolare FIDO2, rimangono un pilastro della sicurezza moderna, tuttavia PoisonSeed dimostra che nessuna tecnologia può proteggere da un utente manipolato.
Non è l’hardware a essere compromesso, ma la percezione dell’utente che legittima, inconsapevolmente, l’accesso malevolo.
Questo è un chiaro caso in cui l’usabilità si trasforma in vulnerabilità se non supportata da una cultura della sicurezza che purtroppo continua ad essere relegata ai margini della quotidianità.
Zero Trust e awareness: due pilastri imprescindibili
L’attacco PoisonSeed rafforza un principio ormai ineludibile: la fiducia implicita, in ambito sicurezza, andrebbe eliminata.
Ogni richiesta di accesso, anche se apparentemente legittima, necessiterebbe di verifica e contestualizzazione.
La logica Zero Trust impone che l’identità non basti, serva anche la coerenza del comportamento.
Tuttavia una politica Zero Trust non può funzionare senza persone consapevoli.
I suggerimenti riporterebbero sempre sulla stessa direttrice di consapevolezza e investimento:
- formare gli utenti sui rischi dell’autenticazione via QR;
- monitorare attivamente i comportamenti anomali tramite SIEM;
- limitare o geocontestualizzare il login tramite QR code;
- attivare vincoli di prossimità tra i dispositivi.
E Come riconoscere un QR code sospetto?
Per l’utente ancora poco allenato e subissato da messaggi, oneri e compiti, il compito è inizialmente arduo.
Un QR code è una stringa di dati codificata visivamente, ma può contenere link diretti (es. URL malevoli), token di sessione, richieste di login remoto.
Viene da se che ad occhio non sia immediato analizzarlo, ma i danni possono essere limitati seguendo tre passaggi:
1. valutare il contesto e pensare se abbiamo effettivamente richiesto noi il login. Anche in quel caso, riguardare l’indirizzo del portale potrebbe aiutare a sciogliere dubbi.
2. decodificare l’immagine con un lettore QR offline prima di scansionarlo, magari in versione anteprima.
3. osservare l’indirizzo risultante e notare se sia https ed appartenga al dominio ufficiale, senza storpiature.
Rischi per SPID e CIE?
Alcuni sistemi italiani di identità digitale (come SPID e CIE) usano il QR code per facilitare il login da desktop, tramite l’app mobile. In linea teorica, una variante dell’attacco PoisonSeed potrebbe:
- Avviare un login reale su SPID.
- Ottenere un QR code valido (dura 120 secondi).
- Rilanciarlo alla vittima via phishing.
- Far scansionare il QR per autenticare l’attaccante.
Ad oggi non ci sono evidenze di attacchi a SPID/CIE tramite QR relay, ma il rischio teorico c’è. E con esso, la necessità di vigilare.
PoisonSeed segna un cambio di paradigma: non sempre si attacca la tecnologia. Talvolta la vulnerabilità è nel comportamento, nella fiducia mal riposta, nell’assenza di contesto.
È il momento di spostare il focus della cybersecurity dalla protezione dei sistemi alla protezione delle decisioni umane.
La vera sicurezza inizia quando l’utente capisce perché sta scansionando un QR code. E smette di farlo automaticamente.
Investiamo in phishing resilience ed addestramento sia in azienda che dei gruppi familiari:
Anche la mail della mamma ha valore, ci fidiamo di ciò che manda, ed oltre al danno personale l’escalation in ambito lavorativo potrebbe essere immediata.
Fonte della ricerca:
https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/
#Cybersecurity #cyberthreat. #AMF #FIDO2 #poisonseed #phishing #phishingresilience #cariddi
