Böswillige Akteure können durch eine brandneue Methode, die als „Konto-Pre-Hijacking“ bezeichnet wird, unbefugten Zugang zu den Online-Konten von Kunden erhalten, wie eine neue Analyse herausgefunden hat.
Der Angriff zielt auf den Kontoerstellungskurs ab, der auf Websites und anderen Online-Plattformen allgegenwärtig ist und es einem Gegner ermöglicht, eine Reihe von Aktionen auszuführen, bevor ein ahnungsloser Betroffener ein Konto in einem Zieldienst erstellt.
Die Forschung wurde von dem unvoreingenommenen Sicherheitsforscher Avinash Sudhodanan in Zusammenarbeit mit Andrew Paverd vom Microsoft Safety Response Heart (MSRC) geleitet.
Pre-Hijacking basiert auf der Voraussetzung, dass ein Angreifer bereits im Besitz einer neuartigen Kennung eines Opfers ist, die einer E-Mail-Adresse oder Telefonnummer entspricht, Informationen, die sowohl aus dem Scraping der Social-Media-Konten des Ziels als auch aus zirkulierenden Anmeldeinformationen stammen im Internet aufgrund zahlreicher Wissenslücken.
Die Angriffe können dann auf fünf verschiedene Arten ausgeführt werden, zusammen mit der Verwendung der gleichen E-Mail-Adresse während der Kontoerstellung durch den Angreifer und den Betroffenen, wodurch wahrscheinlich den beiden Ereignissen gleichzeitiger Zugriff auf das Konto gewährt wird.
Eine Folge von Pre-Hijacking-Angriffen ist ähnlich wie die von Account-Hijacking, da sie es dem Angreifer ermöglichen können, heimlich auf die vertraulichen Informationen des Opfers ohne seine Informationen zuzugreifen und sich sogar als die Person auszugeben, die sich auf den Charakter des Dienstes verlässt.
„Wenn der Angreifer ein Konto bei einem Zieldienst erstellen kann, indem er die E-Mail-Adresse des Angreifers verwendet, bevor der Angreifer ein Konto erstellt, kann der Angreifer zahlreiche Methoden anwenden, um das Konto direkt in einen Zustand vor der Entführung zu versetzen“, so die Forscher genannt.
„Nachdem der Betroffene den Zugang wiedererlangt und mit der Nutzung des Kontos begonnen hat, kann der Angreifer den Zugang wiedererlangen und das Konto übernehmen.“ Die 5 Arten von Angriffen vor der Entführung sind unter –
- Traditionell-Federated Merge Assaultwährend dessen zwei Konten mit traditionellen und erstellt wurden föderierte Identität Routen mit identischem E-Mail-Handle ermöglichen dem Betroffenen und dem Angreifer den Zugriff auf das identische Konto.
- Angriff auf nicht abgelaufene Sitzungskennung, während der der Angreifer ein Konto unter Verwendung des E-Mail-Handles des Opfers erstellt und eine lange aktive Sitzung aufrechterhält. Wenn der Verbraucher das Konto unter Verwendung des identischen E-Mail-Handles wiederherstellt, behält der Angreifer weiterhin den Zugriff, da das Zurücksetzen des Kennworts die Sitzung des Angreifers nicht beendet hat.
- Trojaner-Identifikationsangriff, bei dem der Angreifer ein Konto unter Verwendung der E-Mail-Adresse des Betroffenen erstellt und anschließend eine Trojaner-Kennung bereitstellt, z. B. eine sekundäre E-Mail-Adresse oder eine Telefonnummer unter ihrer Verwaltung. Wenn also der genaue Verbraucher den Zugang nach einem Zurücksetzen des Passworts wiedererlangt, kann der Angreifer die Trojaner-Kennung verwenden, um den Zugang zum Konto wiederzuerlangen.
- Nicht abgelaufener E-Mail-Änderungsangriff, während dessen der Angreifer ein Konto unter Verwendung des E-Mail-Handles des Opfers erstellt und das E-Mail-Handle unter seiner Verwaltung auf 1 ändert. Wenn der Dienst eine Bestätigungs-URL an die neue E-Mail-Adresse sendet, wartet der Angreifer darauf, dass es dem Betroffenen besser geht, und beginnt mit der Nutzung des Kontos, bevor er den E-Mail-Wechsel beendet, um die Verwaltung des Kontos zu übernehmen.
- Angriff auf nicht verifizierenden ID-Lieferanten (IdP)., während der der Angreifer unter Verwendung eines nicht verifizierenden IdP ein Konto beim Zieldienst erstellt. Wenn der Betroffene ein Konto erstellt, das die herkömmliche Registrierungstechnik mit dem gleichen E-Mail-Handle verwendet, ermöglicht es dem Angreifer, Zugang zu dem Konto zu erhalten.
In einer empirischen Analyse von 75 der beliebtesten Websites von Alexa wurden 56 Pre-Hijacking-Schwachstellen bei 35 Unternehmen erkannt. Diese besteht aus 13 Traditional-Federated Merge, 19 Unexpired Session Identifier, 12 Trojan Identifier, 11 Unexpired Electronic Mail Change und einem Non-Verifying IdP-Angriff, der sich über eine Reihe bemerkenswerter Plattformen erstreckt –
- Dropbox – Änderungsangriff auf nicht abgelaufene elektronische Post
- Instagram – Trojaner-Identifikationsangriff
- LinkedIn – Angriffe auf nicht abgelaufene Sitzungen und Trojaner-Identifikatoren
- WordPress.com – Nicht abgelaufene Sitzungen und nicht abgelaufene E-Mail-Änderungsangriffe und
- Zoom – Traditional-Federated Merge und nicht verifizierende IdP-Angriffe
„Der Hauptgrund hinter all den Angriffen […] ist ein Versäumnis, den Besitz der beanspruchten Kennung zu bestätigen“, erklärten die Forscher.
„Obwohl viele Unternehmen eine solche Überprüfung durchführen, erreichen sie dies normalerweise asynchron, sodass der Verbraucher bestimmte Optionen des Kontos nutzen kann, bevor die Kennung überprüft wurde. Obwohl dies möglicherweise die Benutzerfreundlichkeit verbessern würde (verringert die Reibung der Verbraucher während der gesamten Registrierung), macht es den Verbraucher anfällig für Pre-Hijacking-Angriffe.“
Während die Implementierung einer strengen Identifikatorüberprüfung in Unternehmen unerlässlich ist, um Angriffe vor der Entführung abzuschwächen, ist es wirklich nützlich, dass Kunden ihre Konten mit Multi-Faktor-Authentifizierung (MFA) sichern.
„Angemessen angewendete MFA wird den Angreifer daran hindern, sich bei einem vorab gekaperten Konto zu authentifizieren, nachdem der Betroffene dieses Konto verwendet hat“, sagten die Forscher. „Der Dienst sollte außerdem alle Klassen ungültig machen, die vor der Aktivierung von MFA erstellt wurden, um dem Angriff auf nicht abgelaufene Sitzungen zuvorzukommen.“
Darüber hinaus wird Online-Unternehmen empfohlen, regelmäßig unbestätigte Konten zu löschen, ein niedriges Fenster einzuführen, um eine Änderung des E-Mail-Kontos zu bestätigen, und Klassen während des Zurücksetzens von Kennwörtern für einen umfassenden Schutz der Kontoverwaltung zu deaktivieren.
„Wenn ein Dienst ein Konto, das über die herkömmliche Route erstellt wurde, mit einem Konto zusammenführt, das über die föderierte Route erstellt wurde (oder umgekehrt), sollte der Dienst sicherstellen, dass der Verbraucher im Moment beide Konten kontrolliert“, erklärten Sudhodanan und Paverd.