Исследователи сообщили о выявлении фишинговой атаки, направленной против двухфакторной аутентификации по стандарту FIDO (Fast Identity Online), который массово внедряется на корпоративных и пользовательских платформах. Несмотря на заявления о якобы "обходе" FIDO, по факту речь идёт о так называемой downgrade-атаке: злоумышленники переводят процесс входа с защищённого FIDO-метода на более уязвимый вариант.

• Атака начинается с фишингового письма и поддельной страницы Okta — популярного провайдера аутентификации. Пользователь вводит логин и пароль, позволяя злоумышленникам инициировать вход с использованием менее защищённых способов аутентификации.
• Стандарт FIDO подразумевает второй фактор в виде криптографического ключа на устройстве пользователя (смартфон, Yubikey и др.). При отсутствии passkey на устройстве допускается вход через QR-код и подтверждение на другом устройстве, что открывает вектор для downgrade-атаки.
• В результате злоумышленники вынуждают пользователя использовать незащищённый путь входа, обходя преимущества FIDO и снижая общий уровень безопасности учетной записи.
• Этот кейс подчёркивает важность контроля UX и настройки процессов аутентификации, чтобы предотвратить сценарии downgrade и минимизировать человеческий фактор.