FIDO（Fast Identity Online）標準素以安全性和用戶友好性著稱，被廣泛應用于無密碼認證領域，并被視為防范釣魚攻擊的有效手段。然而，Proofpoint研究團隊近期發現了一種可繞過FIDO認證的新方法。專家們為此開發了降級攻擊技術，并以微軟Entra ID為例進行了測試驗證。

降級攻擊技術原理

采用FIDO密鑰保護的賬戶通常能抵御釣魚攻擊，但Proofpoint指出某些FIDO實施方案存在降級攻擊漏洞。攻擊者通過誘導用戶采用安全性較低的認證方式實現入侵。

研究人員的突破點在于：并非所有網絡瀏覽器都支持FIDO密鑰（例如Windows系統下的Safari瀏覽器）。Proofpoint表示："網絡罪犯可改造中間人攻擊（AiTM）框架，偽裝成FIDO實現方案無法識別的用戶代理，迫使用戶轉而采用低安全性的認證方式。"

為驗證攻擊可行性，Proofpoint專家在Evilginx中間人攻擊框架中開發了"釣魚套件"——這是一種用于偽造網站界面、竊取登錄數據和會話令牌的配置文件。該攻擊之所以能夠得逞，是因為配置FIDO認證的用戶賬戶通常會將多因素認證（MFA）作為備用登錄方案。

攻擊實施流程

安全專家還原了完整的攻擊鏈條：

• 攻擊者通過電子郵件、短信或OAuth請求向目標發送釣魚鏈接
• 受害者點擊惡意鏈接后，系統會返回認證錯誤并建議采用替代登錄方式
• 當用戶通過偽造界面完成登錄時，其憑證數據和會話Cookie即遭竊取
• 攻擊者可借此劫持會話，完全控制目標賬戶，進而實施數據竊取或橫向滲透

新型威脅預警

盡管目前尚未發現該技術被實際用于網絡犯罪，Proofpoint仍將此類降級攻擊列為重大新興威脅。專家警告稱："隨著越來越多機構采用FIDO等'防釣魚'認證方案，攻擊者極可能將FIDO認證降級技術整合進其攻擊鏈條。"