Инфобез. Якутия

Хакеры могут взламывать учетные записи ещё до их создания


Как выяснили аналитики в сфере информационной безопасности из Microsoft Security Response Center, хакеры могут взломать учетную запись еще до того, как пользователь ее зарегистрирует. В своей исследовательской работе они описали атаку под названием pre-hijacking (предварительный взлом).

В рамках исследования было выяснено, что хакеры могут скомпрометировать чужие аккаунты в таких популярных сервисах как Instagram, Zoom, WordPress, Dropbox и т.д. еще до их регистрации. Эксперты изучили 75 популярных онлайн-сервисов и обнаружили, что половина из них уязвима для атак с предварительным взломом учетной записи.

«Последствия предварительного взлома учетной записи такие же, как и последствия самого взлома. В зависимости от атакуемого устройства успешно проведенная атака может позволить злоумышленнику читать/модифицировать чувствительную информацию, связанную с учетной записью (сообщения, выписки по счетам, историю использования и пр.) и выполнять действия от лица пользователя (рассылать сообщения, делать покупки с помощью сохраненных способов оплаты и пр.)», - сообщил один из независимых исследователей в сфере ИБ Судходанан.

Чтобы провести такую атаку, хакеру необходимо заведомо знать адрес электронной почты будущей жертвы. После, злоумышленник создает учетную запись на уязвимом сайте, используя чужой email-адрес в надежде, что жертва не обратит внимания на уведомление, пришедшее в ее почтовый ящик. Затем злоумышленник дождается момента, когда жертва решит создать аккаунт на этом сайте, или обманом вынудить жертву сделать это.


В итоге атакующий получает возможность провести пять различных атак:

Classic-federated merge Attack: платформа поддерживает слияние учетных записей, когда цель создает учетную запись с существующим email-адресом. Атака основана на предоставлении жертве опции Single-Sign-On (SSO), поэтому жертва вообще не меняет пароль, установленный злоумышленником.

Технология единого входа (SSO) — это технология, позволяющая пользователю переходить из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.

Unexpired session identifier Attack: после создания учетной записи хакер сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва создает учетную запись и сбрасывает пароль, активный сеанс может остаться действительным, поэтому злоумышленник сохранит доступ к учетной записи.

Trojan identifier Attack: сочетает в себе типы атак Classic-Federated Merge и Unexpired Session. «Атакующий создает предварительно взломанную учетную запись, используя email-адрес жертвы, а затем связывает учетную запись с учетной записью IdP (Identity provider) злоумышленника для федеративной аутентификации. Когда жертва сбрасывает пароль, злоумышленник все еще сохраняет доступ к учетной записи через "маршрут федеративной аутентификации", — поясняется в статье.

Unexpired email change Attack: злоумышленник создает учетную запись, используя адрес электронной почты жертвы, а затем отправляет запрос на изменение этого адреса, но не подтверждает его. После того как жертва сама выполняет сброс пароля, злоумышленник подтверждает изменение и перехватывает управление учетной записью.

Non-verifying IdP Attack: хакеры злоупотребляют отсутствием верификации IdP (identity provider) при создании учетной записи, что открывает возможности по злоупотреблению облачными логин-сервисами.


Для всех этих атак злоумышленник должен определить службы, в которых у жертвы еще нет учетной записи, но, вероятно, она создаст ее в будущем. Хотя успех не гарантирован, есть несколько способов, которыми злоумышленник может сделать это.

Практически все онлайн-платформы стремятся минимизировать сложности при регистрации, что в итоге отрицательно сказывается на безопасности учетных записей. Для сокращения рисков от подобных атак специалисты советуют пользователям сразу настраивать многофакторную аутентификацию для своих аккаунтов, что в итоге должно привести и к аннулированию всех предыдущих сеансов.


Источник


Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!

Страница ВКонтакте - Защита информации Якутии

Страница Одноклассники - Защита информации Якутии

Подписывайтесь на YouTube-канал - Защита информации Якутии

Rutube-канал - Защита информации Якутии

Telegram канал - Защита информации Якутии