Отвличането на акаунт е актът на поемане на контрол върху акаунта на някой друг. Обикновено се извършва с надеждата за кражба на лична информация, представяне за жертва или за изнудване. Отвличането на акаунт е често срещан проблем, но не е лесно за изпълнение. За да бъде успешен, нападателят очевидно трябва да разбере паролата на жертвата.
Изследователите откриха нов тип атака, известна като предварително отвличане на акаунти. Той включва акаунти, които все още не са създадени и позволява на нападателите да постигнат същата цел без достъп до парола.
И така, какво представлява предварителното отвличане на акаунти и как можете да се предпазите от него?
Какво е предварително отвличане на акаунт?
Предварителното отвличане на акаунти е нов тип кибератака. Нападателят създава акаунт в популярна услуга, използвайки имейл адреса на някой друг.
Когато жертвата се опита да създаде акаунт, използвайки същия имейл адрес, нападателят запазва контрола върху акаунта. След това всяка информация, предоставена от жертвата, е достъпна за нападателя и той може да поеме изключителен контрол върху акаунта на по-късна дата.
Как работи предварителното отвличане на акаунт?
За да извърши предварително отвличане, нападателят първо се нуждае от достъп до имейл адрес. Те са широко достъпни в тъмната мрежа. Когато възниква нарушение на данните, големи партиди имейл адреси обикновено се публикуват като дъмпове на данни.
След това нападателят създава акаунт в популярна услуга, която собственикът на имейл адреса все още не е използвал. Тази атака е възможна срещу много големи доставчици на услуги, така че прогнозирането, че жертвите в даден момент ще искат такъв акаунт, не е непременно трудно.
Всичко това се извършва на едро, с надеждата, че определен брой атаки в крайна сметка ще бъдат успешни.
Когато жертвата се опита да създаде акаунт в целевата услуга, ще й бъде казано, че вече има акаунт и ще бъде помолено да нулира паролата си. Много жертви ще нулират паролата си, като предполагат, че това е грешка.
След това нападателят ще бъде уведомен за новия акаунт и може да може да запази достъп до него.
Специфичният механизъм, чрез който възниква тази атака, варира, но има пет различни типа.
Атака на класическо-федеративно сливане
Много онлайн платформи ви дават избор да влезете с помощта на обединена самоличност, като например вашия акаунт в Gmail, или да създадете нов акаунт, използвайки вашия Gmail адрес. Ако нападателят се регистрира с вашия адрес в Gmail, а вие с вашия акаунт в Gmail, е възможно и двамата да имате достъп до един и същ акаунт.
Атака с идентификатор на неизтекла сесия
Нападателят създава акаунт, използвайки имейл адреса на жертвата и те поддържат активна сесия. Когато жертвата създаде акаунт и нулира паролата си, нападателят запазва контрола върху акаунта, защото платформата не ги е излязла от активната им сесия.
Атака с троянски идентификатор
Нападателят създава акаунт и добавя допълнителна опция за възстановяване на акаунта. Това може да е друг имейл адрес или телефонен номер. Жертвата може да нулира паролата на акаунта, но нападателят все още може да използва опцията за възстановяване на акаунта, за да поеме контрола над него.
Атака за промяна на имейл с неизтекъл срок
Нападателят създава акаунт и инициира промяна на имейл адреса. Те получават връзка за промяна на имейл адреса на акаунта, но не завършват процеса. Жертвата може да нулира паролата на акаунта, но това не деактивира непременно връзката, получена от нападателя. След това нападателят може да използва връзката, за да поеме контрола над акаунта.
Атака на доставчик на непроверяваща самоличност
Нападателят създава акаунт, използвайки доставчик на самоличност, който не потвърждава имейл адресите. Когато жертвата се регистрира с един и същ имейл адрес, е възможно и двамата да имат достъп до един и същ акаунт.
Как е възможно предварителното отвличане на акаунт?
Ако нападател се регистрира за акаунт, използвайки вашия имейл адрес, обикновено ще бъде помолен да потвърди имейл адреса. Ако приемем, че не са хакнали имейл акаунта ви, това няма да е възможно.
Проблемът е, че много доставчици на услуги позволяват на потребителите да поддържат акаунта отворен с ограничена функционалност, преди този имейл да бъде потвърден. Това позволява на нападателите да подготвят акаунт за тази атака без проверка.
Кои платформи са уязвими?
Изследователите тестваха 75 различни платформи от топ 150 според Alexa. Те откриха, че 35 от тези платформи са потенциално уязвими. Това включва големи имена като LinkedIn, Instagram, WordPress и Dropbox.
Всички компании, за които е установено, че са уязвими, са информирани от изследователите. Но не е известно дали са предприети достатъчно действия за предотвратяване на тези атаки.
Какво се случва с жертвата?
Ако попаднете на тази атака, всяка информация, която предоставите, ще бъде достъпна за нападателя. В зависимост от типа акаунт, това може да включва лична информация. Ако тази атака се извърши срещу доставчик на имейл, нападателят може да се опита да се представи за вас. Ако акаунтът е ценен, той също може да бъде откраднат и може да бъдете поискани откуп за връщането му.
Как да се предпазим от предварително отвличане на акаунт
Основната защита срещу тази заплаха е да знаете, че тя съществува.
Ако настроите акаунт и ви бъде казано, че акаунт вече съществува, трябва да се регистрирате с друг имейл адрес. Тази атака е невъзможна, ако използвате различни имейл адреси за всичките си най-важни акаунти.
Тази атака също разчита на това, че потребителят не използва Двуфакторна автентификация (2FA). Ако настроите акаунт и включите 2FA, всеки друг с достъп до акаунта няма да може да влезе. 2FA също се препоръчва за защита срещу други онлайн заплахи като фишинг и нарушения на данните.
Предварителното отвличане на акаунт е лесно да се избегне
Отвличането на акаунт е често срещан проблем. Но предварителното отвличане на акаунти е нова заплаха и засега до голяма степен теоретична. Това е възможност, когато се регистрирате в много онлайн услуги, но все още не се смята, че е редовно явление.
Въпреки че жертвите на тази атака могат да загубят достъп до акаунта и да им откраднат личната информация, това също е лесно да се избегне. Ако се регистрирате за нов акаунт и ви кажат, че вече имате такъв, трябва да използвате различен имейл адрес.