帐户劫持(Account hijacking)是控制他人账户的行为,目的通常是窃取个人信息、冒充或勒索受害者。账户劫持作为一种常见的攻击类型,执行起来却并不容易,为了成功实施攻击,攻击者必须提前弄清楚受害者的密码。
不过,研究人员已经发现了一种称为“帐户预劫持”(Pre-Hijacking)的新型攻击。它涉及到利用尚未创建的帐户,并允许攻击者在不访问密码的情况下实现相同的目标。
那么究竟什么是帐户预劫持,以及如何免受此类劫持的影响呢?
帐户预劫持是一种新型的网络攻击。攻击者需要使用其他人的电子邮件地址在流行服务上创建一个帐户。
当受害者尝试使用相同的电子邮件地址去创建帐户时,攻击者就拥有并保留了对该帐户的控制权。然后,攻击者就可以访问受害者提供的任何信息。而且,他们会在之后的一段时间,持续独占对该帐户的控制权。
为了进行预劫持,攻击者首先需要访问一个电子邮件地址。而这些地址信息遍布暗网,例如,当发生数据泄露时,就会出现大量电子邮件地址被转储到暗网中。
然后,攻击者会在该电子邮件地址所有者尚未使用的流行服务上创建一个账户。鉴于许多大型服务提供商通常会提供广泛的服务栈,因此预测受害者会在某个时刻注册这样的账户并不困难。而且,这些活动通常是批量进行的,旨在提高成功率。
当受害者试图用电子邮件地址在目标服务上创建一个帐户时,他们就会被告知该帐户已存在,并会被要求重置他们的密码。而大多数受害者会质疑自身确实已经注册过账户,并按照要求重置他们的密码。
随后,攻击者将会收到新帐户密码的更新通知,并持续保留对该账户的访问权限。
这种攻击发生的具体机制各不相同,但主要分为五种不同的类型。
经典联合归并(Classic-Federated Merge)攻击
如今,许多在线平台都会让您选择联合身份(例如,您的Gmail帐户)登录,或使用您的Gmail地址来创建新帐户。如此一来,如果攻击者使用您的Gmail地址注册了账户,那么在您使用Gmail帐户登录时,就可能访问到同一个帐户内,进而遭受账户预劫持攻击。
未过期的会话标识符(Unexpired Session Identifier)攻击
攻击者使用受害者的电子邮件地址创建一个帐户,并持续保持一个活跃的会话。当受害者创建一个帐户并重置他们的密码时,由于平台并未将原先的攻击者从活跃会话中注销,因此攻击者仍保留对该帐户的控制权。
木马标识符(Trojan Identifier)攻击
攻击者创建了一个帐户并添加进一步的账户恢复选项,这可能是另一个电子邮件地址或电话号码。如此一来,即便受害者可以重置该帐户的密码,但攻击者仍然可以使用帐户恢复选项来控制它。
未过期的电子邮件更改(Unexpired Email Change)攻击
攻击者创建一个帐户并启动电子邮件地址的更改请求。这样,他们会收到一个链接,用于更改帐户的电子邮件地址,但他们并没有完成该过程。受害者可以重置该帐户的密码,但这并不一定会使攻击者之前收到的链接失效。然后,攻击者仍可使用该链接来控制该帐户。
非验证身份提供商(Non-Verifying Identity Provider)攻击
攻击者使用无需邮件地址身份验证的提供商来创建帐户。当受害者使用相同的电子邮件地址注册时,他们可能都可以访问同一个帐户。
正常情况下,如果攻击者使用您的电子邮件地址注册新帐户,通常会被要求去验证电子邮件的地址。假设他们没有入侵您的电子邮件账户,这几乎是不可能的。
不过,问题就在于,许多服务提供商会允许用户在验证电子邮件之前,以有限的功能开启和访问帐户。这就为攻击者提供了可乘之机,允许他们在无需验证的情况下为此类攻击准备好一个帐户。
Alexa公司研究人员针对全球排名前150的75个不同类型平台进行了测试,结果发现,其中35个平台存在潜在漏洞。这些平台包括LinkedIn、Instagram、WordPress以及Dropbox等知名品牌。
虽然研究人员已经通知了所有存在潜在漏洞的公司,但目前尚不清楚他们是否已采取足够的措施来防范此类攻击。
如果您受到此类攻击,攻击者将可以访问到您提供的任何信息。根据具体的帐户类型,这可能涉及个人隐私信息。如果攻击者针对电子邮件提供商执行此类攻击,那么他们甚至可能会试图冒充您。如果您的账户极具价值,它也可能会被盗,并要求您支付赎金来赎回该账户。
针对这种威胁的主要保护措施是明确它的存在。
如果您设置了一个帐户,并被告知该帐户已经存在,那么您应该使用不同的电子邮件地址去进行注册。如果您为所有最重要的帐户使用不同的电子邮件地址,那么这种攻击既几乎是不可能的。
在一定程度上,这种攻击的成功还得益于用户不使用双因素身份验证(2FA)。如果您在设置帐户时启用双因素身份验证,那么其他有权访问该账户的人将无法登录。当然,双因素身份验证还可用于防范其他在线威胁,例如网络钓鱼和数据泄露等。
帐户劫持是一种常见威胁,但帐户预劫持却是一种新型威胁,到目前为止,还主要是理论上的。在注册许多在线服务时可能会出现这种情况,但目前还没有被认定为经常发生的情况。
虽然此类攻击的受害者可能会丧失帐户访问权限并造成个人信息泄露,但它同时也很容易避免。如果您注册了一个新帐户并被告知账户已存在,请记住务必使用不同的电子邮件地址完成注册。同时,践行帐户安全实践来防范和规避此类攻击。
参考及来源:https://www.makeuseof.com/what-is-account-pre-hijacking/