В рамках исследования было выяснено, что хакеры могут скомпрометировать чужие аккаунты в таких популярных сервисах как Instagram, Zoom, WordPress, Dropbox и т.д. еще до их регистрации. Эксперты изучили 75 популярных онлайн-сервисов и обнаружили, что половина из них уязвима для атак с предварительным взломом учетной записи.
«Последствия предварительного взлома учетной записи такие же, как и последствия самого взлома. В зависимости от атакуемого устройства успешно проведенная атака может позволить злоумышленнику читать/модифицировать чувствительную информацию, связанную с учетной записью (сообщения, выписки по счетам, историю использования и пр.) и выполнять действия от лица пользователя (рассылать сообщения, делать покупки с помощью сохраненных способов оплаты и пр.)», - сообщил один из независимых исследователей в сфере ИБ Судходанан.
Чтобы провести такую атаку, хакеру необходимо заведомо знать адрес электронной почты будущей жертвы. После, злоумышленник создает учетную запись на уязвимом сайте, используя чужой email-адрес в надежде, что жертва не обратит внимания на уведомление, пришедшее в ее почтовый ящик. Затем злоумышленник дождается момента, когда жертва решит создать аккаунт на этом сайте, или обманом вынудить жертву сделать это.
В итоге атакующий получает возможность провести пять различных атак:
Classic-federated merge Attack: платформа поддерживает слияние учетных записей, когда цель создает учетную запись с существующим email-адресом. Атака основана на предоставлении жертве опции Single-Sign-On (SSO), поэтому жертва вообще не меняет пароль, установленный злоумышленником.
Технология единого входа (SSO) — это технология, позволяющая пользователю переходить из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Unexpired session identifier Attack: после создания учетной записи хакер сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва создает учетную запись и сбрасывает пароль, активный сеанс может остаться действительным, поэтому злоумышленник сохранит доступ к учетной записи.
Trojan identifier Attack: сочетает в себе типы атак Classic-Federated Merge и Unexpired Session. «Атакующий создает предварительно взломанную учетную запись, используя email-адрес жертвы, а затем связывает учетную запись с учетной записью IdP (Identity provider) злоумышленника для федеративной аутентификации. Когда жертва сбрасывает пароль, злоумышленник все еще сохраняет доступ к учетной записи через "маршрут федеративной аутентификации", — поясняется в статье.
Unexpired email change Attack: злоумышленник создает учетную запись, используя адрес электронной почты жертвы, а затем отправляет запрос на изменение этого адреса, но не подтверждает его. После того как жертва сама выполняет сброс пароля, злоумышленник подтверждает изменение и перехватывает управление учетной записью.
Non-verifying IdP Attack: хакеры злоупотребляют отсутствием верификации IdP (identity provider) при создании учетной записи, что открывает возможности по злоупотреблению облачными логин-сервисами.
Для всех этих атак злоумышленник должен определить службы, в которых у жертвы еще нет учетной записи, но, вероятно, она создаст ее в будущем. Хотя успех не гарантирован, есть несколько способов, которыми злоумышленник может сделать это.
Практически все онлайн-платформы стремятся минимизировать сложности при регистрации, что в итоге отрицательно сказывается на безопасности учетных записей. Для сокращения рисков от подобных атак специалисты советуют пользователям сразу настраивать многофакторную аутентификацию для своих аккаунтов, что в итоге должно привести и к аннулированию всех предыдущих сеансов.
Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!
Страница ВКонтакте - Защита информации Якутии
Страница Одноклассники - Защита информации Якутии
Подписывайтесь на YouTube-канал - Защита информации Якутии
Rutube-канал - Защита информации Якутии
Telegram канал - Защита информации Якутии