नए विश्लेषण से पता चला है कि दुर्भावनापूर्ण अभिनेता “खाता पूर्व-अपहरण” नामक एक नई विधि के माध्यम से ग्राहकों के ऑनलाइन खातों में अनधिकृत प्रवेश प्राप्त कर सकते हैं।
हमला खाता बनाने की प्रक्रिया के कारण होता है, जो वेबसाइटों और अन्य ऑनलाइन प्लेटफार्मों में सर्वव्यापी है, एक विरोधी को एक लक्ष्य सेवा में एक खाता बनाने से पहले एक पहले से ही कार्रवाई का एक सेट करने के लिए सक्षम बनाता है।
अनुसंधान का नेतृत्व निष्पक्ष सुरक्षा शोधकर्ता अविनाश सुधोदानन ने माइक्रोसॉफ्ट सेफ्टी रिस्पांस हार्ट (एमएसआरसी) के एंड्रयू पावर्ड के सहयोग से किया था।
पूर्व-अपहरण बैंकों को इस शर्त पर कि एक हमलावर के पास पहले से ही एक पीड़ित से संबंधित एक उपन्यास पहचानकर्ता है, जो एक ईमेल हैंडल या टेलीफोन नंबर के अनुरूप है, जानकारी जो लक्ष्य के सोशल मीडिया खातों को स्क्रैप करने या सर्कुलेटिंग क्रेडेंशियल डंप दोनों से प्राप्त की जाएगी। कई ज्ञान उल्लंघनों के कारण इंटरनेट पर।
फिर हमले पांच अन्य तरीकों से हो सकते हैं, जिसमें विरोधी और पीड़ित दोनों द्वारा खाता बनाने के दौरान एक ही ईमेल का उपयोग करना शामिल है, संभवतः दोनों पक्षों को खाते में एक साथ प्रवेश की अनुमति देना।
पूर्व-अपहरण हमलों का एक परिणाम खाता अपहरण के समान होता है जिसमें वे विरोधी को उनकी जानकारी के बिना पीड़ित की गोपनीय जानकारी में चुपके से प्रवेश करने की अनुमति दे सकते हैं और यहां तक कि सेवा के चरित्र पर भरोसा करने वाले व्यक्ति का प्रतिरूपण भी कर सकते हैं।
शोधकर्ताओं ने कहा, “अगर हमलावर पीड़ित के अकाउंट बनाने से पहले पीड़ित के ईमेल हैंडल का उपयोग करके लक्ष्य सेवा में खाता बना सकता है, तो हमलावर खाते को पूर्व-अपहृत स्थिति में रखने के लिए कई तरीकों का इस्तेमाल कर सकता है।” कहा.
पीड़ित के प्रवेश करने और खाते का उपयोग शुरू करने के बाद, हमलावर फिर से प्रवेश कर सकता है और खाते पर कब्जा कर सकता है। अपहरण पूर्व हमले के 5 प्रकार निम्न हैं –
- ट्रेडिशनल-फ़ेडरेटेड मर्ज असॉल्टजिसके दौरान पारंपरिक और . का उपयोग करते हुए दो खाते बनाए गए संघबद्ध पहचान एक ही ईमेल हैंडल वाले रूट पीड़ित और हमलावर को एक ही खाते में प्रवेश की अनुमति देते हैं।
- असमाप्त सत्र पहचानकर्ता हमला, जिसके दौरान हमलावर पीड़ित के ईमेल हैंडल का उपयोग करके एक खाता बनाता है और लंबे समय तक चलने वाला सक्रिय सत्र बनाए रखता है। जब उपभोक्ता उसी ईमेल हैंडल का उपयोग करके खाते को पुनर्प्राप्त करता है, तो हमलावर प्रवेश जारी रखता है क्योंकि पासवर्ड रीसेट हमलावर के सत्र को समाप्त नहीं करता है।
- ट्रोजन पहचानकर्ता हमला, जिसमें हमलावर पीड़ित के ईमेल हैंडल का उपयोग करके एक खाता बनाता है और उसके बाद एक ट्रोजन पहचानकर्ता, जैसे, एक द्वितीयक ईमेल हैंडल या उनके नियंत्रण में एक टेलीफोन नंबर प्रदान करता है। इस प्रकार जब सटीक उपभोक्ता पासवर्ड रीसेट के बाद प्रविष्टि पुनर्प्राप्त करता है, तो हमलावर खाते में प्रवेश प्राप्त करने के लिए ट्रोजन पहचानकर्ता का उपयोग कर सकता है।
- असमाप्त इलेक्ट्रॉनिक मेल परिवर्तन आक्रमण, जिसमें हमलावर पीड़ित के ईमेल हैंडल का उपयोग करके एक खाता बनाता है और अपने नियंत्रण में ई-मेल हैंडल को 1 में बदलने के लिए आगे बढ़ता है। जब सेवा नए ईमेल हैंडल पर एक सत्यापन URL भेजती है, तो हमलावर पीड़ित के ठीक होने का इंतजार करता है और खाते के प्रबंधन को हथियाने के लिए ईमेल बदलने की प्रक्रिया को पूरा करने से पहले खाते का उपयोग करना शुरू कर देता है।
- गैर-सत्यापन आईडी आपूर्तिकर्ता (आईडीपी) हमला, जिसके दौरान हमलावर एक गैर-सत्यापन आईडीपी का उपयोग करके लक्ष्य सेवा के साथ एक खाता बनाता है। यदि पीड़ित एक ही ईमेल हैंडल से पारंपरिक पंजीकरण तकनीक का उपयोग करके खाता बनाता है, तो यह हमलावर को खाते में प्रवेश करने की अनुमति देता है।
एलेक्सा की 75 सबसे अधिक पसंद की जाने वाली वेबसाइटों के अनुभवजन्य विश्लेषण में, 35 कंपनियों पर 56 पूर्व-अपहरण कमजोरियों की पहचान की गई थी। इसमें 13 ट्रेडिशनल-फ़ेडरेटेड मर्ज, 19 अनएक्सपायर्ड सेशन आइडेंटिफ़ायर, 12 ट्रोजन आइडेंटिफ़ायर, 11 अनएक्सपायर्ड इलेक्ट्रॉनिक मेल चेंज और एक नॉन-वेरिफाइंग आईडीपी अटैक शामिल हैं, जो कई उल्लेखनीय प्लेटफॉर्म पर फैले हुए हैं –
- ड्रॉपबॉक्स – अनएक्सपायर्ड इलेक्ट्रॉनिक मेल चेंज असॉल्ट
- इंस्टाग्राम – ट्रोजन आइडेंटिफायर असॉल्ट
- लिंक्डइन – अनपेक्षित सत्र और ट्रोजन पहचानकर्ता हमले
- WordPress.com – अनएक्सपायर्ड सेशन और अनएक्सपायर्ड इलेक्ट्रॉनिक मेल चेंज असॉल्ट्स, और
- ज़ूम – ट्रेडिशनल-फ़ेडरेटेड मर्ज और नॉन-वेरिफ़ाइंग IdP असॉल्ट
“सभी हमलों के पीछे आधार कारण” […] दावा किए गए पहचानकर्ता के कब्जे की पुष्टि करने में विफलता है,” शोधकर्ताओं ने कहा।
“हालांकि कई कंपनियां इस तरह का सत्यापन करती हैं, वे आमतौर पर इसे अतुल्यकालिक रूप से प्राप्त करते हैं, जिससे उपभोक्ता को पहचानकर्ता सत्यापित होने से पहले खाते के कुछ विकल्पों का उपयोग करने की अनुमति मिलती है। हालांकि यह संभवतः उपयोगिता को बढ़ाएगा (नामांकन के दौरान उपभोक्ता घर्षण को कम करता है), यह उपभोक्ता को अपहरण से पहले के हमलों के लिए कमजोर बना देता है।
जबकि कंपनियों में सख्त पहचानकर्ता सत्यापन को लागू करना अपहरण से पहले के हमलों को कम करने के लिए आवश्यक है, यह वास्तव में उपयोगी है कि ग्राहक अपने खातों को बहु-कारक प्रमाणीकरण (एमएफए) के साथ सुरक्षित रखते हैं।
“उचित रूप से लागू एमएफए पीड़ित द्वारा इस खाते का उपयोग शुरू करने के बाद हमलावर को पूर्व-अपहृत खाते को प्रमाणित करने से रोक देगा,” शोधकर्ताओं ने प्रसिद्ध किया। “अनपेक्षित सत्र हमले को रोकने के लिए सेवा को एमएफए के सक्रियण से पहले बनाए गए किसी भी वर्ग को अतिरिक्त रूप से अमान्य कर देना चाहिए।”
इसके शीर्ष पर, ऑनलाइन कंपनियों को अतिरिक्त रूप से असत्यापित खातों को समय-समय पर हटाने, ईमेल हैंडल में परिवर्तन को प्रमाणित करने के लिए एक कम विंडो लागू करने, और खाता प्रशासन के लिए एक गहन सुरक्षा विधि के लिए पासवर्ड रीसेट के दौरान कक्षाओं को अमान्य करने का सुझाव दिया जाता है।
“जब कोई सेवा पारंपरिक मार्ग के माध्यम से बनाए गए खाते को फ़ेडरेटेड रूट (या इसके विपरीत) के माध्यम से बनाए गए खाते के साथ मर्ज करती है, तो सेवा को यह सुनिश्चित करना चाहिए कि इस समय उपभोक्ता प्रत्येक खाते को नियंत्रित करता है,” सुधोदानन और पावर्ड ने कहा।
