Przejęcie konta to przejęcie kontroli nad cudzym kontem. Zwykle ma to na celu kradzież danych osobowych, podszywanie się pod ofiarę lub szantażowanie. Przejęcie konta to częsty problem, ale nie jest łatwy do wykonania. Aby odnieść sukces, atakujący musi oczywiście poznać hasło ofiary.
Badacze odkryli nowy rodzaj ataku, znany jako przed przejęciem konta. Obejmuje konta, które nie zostały jeszcze utworzone i umożliwia atakującym osiągnięcie tego samego celu bez dostępu do hasła.
Czym więc jest przed przejęciem konta i jak się przed nim uchronić?
Co to jest przed przejęciem konta?
Wstępne przejęcie konta to nowy rodzaj cyberataku. Atakujący tworzy konto w popularnym serwisie, korzystając z cudzego adresu e-mail.
Kiedy ofiara próbuje utworzyć konto przy użyciu tego samego adresu e-mail, atakujący zachowuje kontrolę nad kontem. Wszelkie informacje dostarczone przez ofiarę są wtedy dostępne dla atakującego, który może przejąć wyłączną kontrolę nad kontem w późniejszym terminie.
Jak działa przed przejęciem konta?
Aby przeprowadzić wstępne przejęcie, osoba atakująca musi najpierw uzyskać dostęp do adresu e-mail. Są one szeroko dostępne w ciemnej sieci. Kiedy dochodzi do naruszenia danych, duże partie adresów e-mail są zwykle publikowane jako zrzuty danych.
Atakujący tworzy następnie konto w popularnej usłudze, z której właściciel adresu e-mail jeszcze nie korzystał. Atak ten jest możliwy w przypadku wielu dużych dostawców usług, więc przewidzenie, że ofiary w pewnym momencie będą chciały mieć takie konto, niekoniecznie jest trudne.
Wszystko to odbywa się masowo, w nadziei, że pewna liczba ataków w końcu zakończy się sukcesem.
Kiedy ofiara próbuje utworzyć konto w docelowej usłudze, zostanie poinformowana, że już posiada konto i zostanie poproszona o zresetowanie hasła. Wiele ofiar zresetuje swoje hasło, zakładając, że to błąd.
Atakujący zostanie wówczas powiadomiony o nowym koncie i może być w stanie zachować do niego dostęp.
Specyficzny mechanizm, za pomocą którego następuje ten atak, jest różny, ale istnieje pięć różnych typów.
Atak scalający klasycznie sfederowany
Wiele platform internetowych umożliwia logowanie się przy użyciu tożsamości sfederowanej, takiej jak konto Gmail, lub utworzenie nowego konta przy użyciu adresu Gmail. Jeśli osoba atakująca zarejestruje się przy użyciu Twojego adresu Gmail, a Ty zalogujesz się za pomocą swojego konta Gmail, możliwe, że oboje będziecie mieć dostęp do tego samego konta.
Atak na identyfikator niewygasłej sesji
Atakujący tworzy konto przy użyciu adresu e-mail ofiary i utrzymuje aktywną sesję. Kiedy ofiara tworzy konto i resetuje swoje hasło, atakujący zachowuje kontrolę nad kontem, ponieważ platforma nie wylogowała ich z aktywnej sesji.
Atak identyfikatora trojana
Atakujący tworzy konto i dodaje kolejną opcję odzyskiwania konta. Może to być inny adres e-mail lub numer telefonu. Ofiara może zresetować hasło do konta, ale atakujący nadal może skorzystać z opcji odzyskiwania konta, aby przejąć nad nim kontrolę.
Niewygasły atak zmiany adresu e-mail
Atakujący tworzy konto i inicjuje zmianę adresu e-mail. Otrzymują link do zmiany adresu e-mail konta, ale nie kończą procesu. Ofiara może zresetować hasło do konta, ale niekoniecznie dezaktywuje to łącze, które otrzymał atakujący. Atakujący może następnie użyć łącza, aby przejąć kontrolę nad kontem.
Atak dostawcy tożsamości bez weryfikacji
Atakujący tworzy konto przy użyciu dostawcy tożsamości, który nie weryfikuje adresów e-mail. Kiedy ofiara zarejestruje się przy użyciu tego samego adresu e-mail, możliwe jest, że oboje będą mieli dostęp do tego samego konta.
Jak możliwe jest przejęcie konta przed przejęciem konta?
Jeśli atakujący założy konto przy użyciu Twojego adresu e-mail, zwykle zostanie poproszony o zweryfikowanie adresu e-mail. Zakładając, że nie włamali się na Twoje konto e-mail, nie będzie to możliwe.
Problem polega na tym, że wielu dostawców usług pozwala użytkownikom na utrzymanie konta z ograniczoną funkcjonalnością przed zweryfikowaniem tego adresu e-mail. Dzięki temu atakujący mogą przygotować konto do tego ataku bez weryfikacji.
Które platformy są podatne na ataki?
Badacze przetestowani 75 różnych platform spośród 150 najlepszych według Alexy. Okazało się, że 35 z tych platform było potencjalnie podatnych na ataki. Obejmuje to wielkie nazwiska, takie jak LinkedIn, Instagram, WordPress i Dropbox.
Wszystkie firmy, które zostały uznane za narażone, zostały poinformowane przez badaczy. Nie wiadomo jednak, czy podjęto wystarczające działania, aby zapobiec tym atakom.
Co się dzieje z ofiarą?
Jeśli dasz się nabrać na ten atak, wszelkie informacje, które podasz, będą dostępne dla atakującego. W zależności od rodzaju konta może to obejmować dane osobowe. Jeśli ten atak zostanie przeprowadzony przeciwko dostawcy poczty e-mail, osoba atakująca może próbować podszywać się pod Ciebie. Jeśli konto jest wartościowe, może zostać skradzione i możesz zostać poproszony o okup za jego zwrot.
Jak chronić się przed przejęciem konta?
Podstawową ochroną przed tym zagrożeniem jest świadomość, że ono istnieje.
Jeśli założysz konto i zostaniesz poinformowany, że konto już istnieje, powinieneś zarejestrować się przy użyciu innego adresu e-mail. Ten atak jest niemożliwy, jeśli używasz różnych adresów e-mail dla wszystkich najważniejszych kont.
Ten atak również polega na tym, że użytkownik nie używa Uwierzytelnianie dwuetapowe (2FA). Jeśli założysz konto i włączysz 2FA, nikt inny, kto ma dostęp do konta, nie będzie mógł się zalogować. Funkcja 2FA jest również zalecana do ochrony przed innymi zagrożeniami internetowymi takie jak phishing i naruszenia danych.
Łatwo uniknąć przejęcia konta przed przejęciem konta
Przechwytywanie konta to częsty problem. Jednak wcześniejsze przejęcie konta to nowe zagrożenie i, jak dotąd, w dużej mierze teoretyczne. Jest to możliwe podczas rejestrowania się w wielu usługach online, ale nie uważa się, że zdarza się to regularnie.
Chociaż ofiary tego ataku mogą stracić dostęp do konta i zostać skradzione ich dane osobowe, łatwo jest też tego uniknąć. Jeśli założysz nowe konto i zostaniesz poinformowany, że już je masz, użyj innego adresu e-mail.
