.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
帳戶劫持(Account hijacking)是控制他人賬戶的行為,目的通常是竊取個人信息、冒充或勒索受害者。賬戶劫持作為一種常見的攻擊類型,執行起來卻並不容易,為了成功實施攻擊,攻擊者必須提前弄清楚受害者的密碼。
不過,研究人員已經發現了一種稱為“帳戶預劫持”(Pre-Hijacking)的新型攻擊。它涉及到利用尚未創建的帳戶,並允許攻擊者在不訪問密碼的情況下實現相同的目標。
那麼究竟什麼是帳戶預劫持,以及如何免受此類劫持的影響呢?
帳戶預劫持概念帳戶預劫持是一種新型的網絡攻擊。攻擊者需要使用其他人的電子郵件地址在流行服務上創建一個帳戶。
當受害者嘗試使用相同的電子郵件地址去創建帳戶時,攻擊者就擁有並保留了對該帳戶的控制權。然後,攻擊者就可以訪問受害者提供的任何信息。而且,他們會在之後的一段時間,持續獨占對該帳戶的控制權。
帳戶預劫持的運行方式為了進行預劫持,攻擊者首先需要訪問一個電子郵件地址。而這些地址信息遍布暗網,例如,當發生數據洩露時,就會出現大量電子郵件地址被轉儲到暗網中。
然後,攻擊者會在該電子郵件地址所有者尚未使用的流行服務上創建一個賬戶。鑑於許多大型服務提供商通常會提供廣泛的服務棧,因此預測受害者會在某個時刻註冊這樣的賬戶並不困難。而且,這些活動通常是批量進行的,旨在提高成功率。
當受害者試圖用電子郵件地址在目標服務上創建一個帳戶時,他們就會被告知該帳戶已存在,並會被要求重置他們的密碼。而大多數受害者會質疑自身確實已經註冊過賬戶,並按照要求重置他們的密碼。
隨後,攻擊者將會收到新帳戶密碼的更新通知,並持續保留對該賬戶的訪問權限。
這種攻擊發生的具體機制各不相同,但主要分為五種不同的類型。
帳戶預劫持主要類型經典聯合歸併(Classic-Federated Merge)攻擊如今,許多在線平台都會讓您選擇聯合身份(例如,您的Gmail帳戶)登錄,或使用您的Gmail地址來創建新帳戶。如此一來,如果攻擊者使用您的Gmail地址註冊了賬戶,那麼在您使用Gmail帳戶登錄時,就可能訪問到同一個帳戶內,進而遭受賬戶預劫持攻擊。
未過期的會話標識符(Unexpired Session Identifier)攻擊攻擊者使用受害者的電子郵件地址創建一個帳戶,並持續保持一個活躍的會話。當受害者創建一個帳戶並重置他們的密碼時,由於平台並未將原先的攻擊者從活躍會話中註銷,因此攻擊者仍保留對該帳戶的控制權。
木馬標識符(Trojan Identifier)攻擊攻擊者創建了一個帳戶並添加進一步的賬戶恢復選項,這可能是另一個電子郵件地址或電話號碼。如此一來,即便受害者可以重置該帳戶的密碼,但攻擊者仍然可以使用帳戶恢復選項來控制它。
未過期的電子郵件更改(Unexpired Email Change)攻擊攻擊者創建一個帳戶並啟動電子郵件地址的更改請求。這樣,他們會收到一個鏈接,用於更改帳戶的電子郵件地址,但他們並沒有完成該過程。受害者可以重置該帳戶的密碼,但這並不一定會使攻擊者之前收到的鏈接失效。然後,攻擊者仍可使用該鏈接來控制該帳戶。
非驗證身份提供商(Non-Verifying Identity Provider)攻擊攻擊者使用無需郵件地址身份驗證的提供商來創建帳戶。當受害者使用相同的電子郵件地址註冊時,他們可能都可以訪問同一個帳戶。
帳戶預劫持的可能性正常情況下,如果攻擊者使用您的電子郵件地址註冊新帳戶,通常會被要求去驗證電子郵件的地址。假設他們沒有入侵您的電子郵件賬戶,這幾乎是不可能的。
不過,問題就在於,許多服務提供商會允許用戶在驗證電子郵件之前,以有限的功能開啟和訪問帳戶。這就為攻擊者提供了可乘之機,允許他們在無需驗證的情況下為此類攻擊準備好一個帳戶。
易受攻擊的“重災”平台Alexa公司研究人員針對全球排名前150的75個不同類型平台進行了測試,結果發現,其中35個平台存在潛在漏洞。這些平台包括LinkedIn、Instagram、WordPress以及Dropbox等知名品牌。
雖然研究人員已經通知了所有存在潛在漏洞的公司,但目前尚不清楚他們是否已採取足夠的措施來防範此類攻擊。
攻擊對受害者的危害如果您受到此類攻擊,攻擊者將可以訪問到您提供的任何信息。根據具體的帳戶類型,這可能涉及個人隱私信息。如果攻擊者針對電子郵件提供商執行此類攻擊,那麼他們甚至可能會試圖冒充您。如果您的賬戶極具價值,它也可能會被盜,並要求您支付贖金來贖回該賬戶。
帳戶預劫持防禦策略針對這種威脅的主要保護措施是明確它的存在。
如果您設置了一個帳戶,並被告知該帳戶已經存在,那麼您應該使用不同的電子郵件地址去進行註冊。如果您為所有最重要的帳戶使用不同的電子郵件地址,那麼這種攻擊既幾乎是不可能的。
在一定程度上,這種攻擊的成功還得益於用戶不使用雙因素身份驗證(2FA)。如果您在設置帳戶時啟用雙因素身份驗證,那麼其他有權訪問該賬戶的人將無法登錄。當然,雙因素身份驗證還可用於防範其他在線威脅,例如網絡釣魚和數據洩露等。
賬戶預劫持很容易避免帳戶劫持是一種常見威脅,但帳戶預劫持卻是一種新型威脅,到目前為止,還主要是理論上的。在註冊許多在線服務時可能會出現這種情況,但目前還沒有被認定為經常發生的情況。
雖然此類攻擊的受害者可能會喪失帳戶訪問權限並造成個人信息洩露,但它同時也很容易避免。如果您註冊了一個新帳戶並被告知賬戶已存在,請記住務必使用不同的電子郵件地址完成註冊。同時,踐行帳戶安全實踐來防範和規避此類攻擊。