Pesquisadores de cibersegurança revelaram uma técnica inédita usada por cibercriminosos do grupo PoisonSeed para contornar a proteção de chaves FIDO (Fast IDentity Online). O método explora um recurso legítimo para enganar usuários e obter acesso a contas corporativas. As chaves FIDO foram projetadas para eliminar phishing, vinculando logins a domínios específicos via criptografia de chave pública.
No entanto, o PoisonSeed aproveita fluxos de autenticação que não exigem verificação de proximidade (como Bluetooth ou atestação local) para realizar ataques adversário-no-meio (AitM). O ataque começa com e-mails de phishing que simulam portais de login corporativos, como o Okta. Quando a vítima insere suas credenciais no site falso, essas informações são encaminhadas ao portal legítimo, que gera um QR Code para autenticação híbrida.
Esse QR Code é capturado e exibido pela página maliciosa, levando o usuário a escaneá-lo com seu aplicativo autenticador. Ao fazer isso, o invasor consegue validar a sessão e acessar a conta. Essa técnica não explora falhas no padrão FIDO2, mas abusa de sua flexibilidade, transformando um recurso seguro em uma brecha de phishing. A situação se agrava quando os hackers conseguem registrar suas próprias chaves FIDO após comprometer uma conta. Para mitigar riscos, especialistas recomendam: exigir autenticação no mesmo dispositivo que armazena a chave; monitorar logins via QR Code e novos cadastros de passkeys; e adotar métodos de recuperação de conta resistentes a phishing. O caso ressalta a necessidade de reforçar a segurança em todas as etapas do ciclo de vida das contas.
