Kelompok penyerang siber menggunakan teknik phishing canggih yang dijuluki PoisonSeed untuk secara aktif mengecoh sistem keamanan berbasis FIDO2 dan MFA, dengan cara melakukan downgrade otentikasi agar korban kembali menggunakan metode login yang lebih lemah.
FIDO2 dikenal sebagai standar autentikasi modern yang kuat dan tahan terhadap serangan phishing. Namun dalam kampanye ini, aktor ancaman berhasil memaksa pengguna untuk menggunakan alternatif seperti SMS atau password, membuka celah bagi pengambilalihan akun.
๐งช Bagaimana PoisonSeed Bekerja:
- ๐ง Serangan dirancang untuk meniru layanan login terpercaya
- ๐ฏ Korban menerima email phishing dengan tautan ke halaman login palsu
- ๐ Halaman palsu tidak mendukung autentikasi FIDO2
- ๐ Sistem akan โmenawarkanโ metode alternatif seperti OTP SMS atau password
- ๐ณ๏ธ Setelah korban login, kredensial langsung dicuri
Dampak dan Sasaran:
- Target: Pengguna enterprise, layanan cloud, dan akun developer
- Sangat berbahaya untuk akun yang seharusnya hanya bisa diakses dengan kunci keamanan (hardware token)
- Bisa digunakan untuk masuk ke sistem email, dashboard admin, hingga platform penyimpanan kode (seperti GitHub)
Mengapa Ini Serius?
- ๐ฅ Teknik ini tidak menembus FIDO2, tapi mengelabuhi pengguna agar tidak menggunakannya
- ๐ Mengembalikan sistem keamanan ke era password yang rentan phishing
- ๐จ Menunjukkan pentingnya edukasi pengguna serta penguatan sistem fallback login
Rekomendasi:
- โ๏ธ Nonaktifkan metode autentikasi sekunder yang lemah (password, SMS)
- ๐ Gunakan hardware key berbasis FIDO2 sebagai satu-satunya metode login
- ๐ข Latih pengguna untuk mengenali phishing yang โmemaksa downgradeโ
- ๐ฎ Pantau log login untuk mendeteksi metode login yang tidak biasa