Accounthijacking)是控制他人账户的行为,通常以窃取个人信息、冒充或勒索受害人为目的。账户劫持是一种常见的攻击方式,但实施起来并不容易,为了成功实施攻击,攻击者必须提前破解出受害者的密码。不过,研究人员发现了一种名为“账户预劫持”(Pre-Hijacking)的新型攻击方式。它涉及利用尚未创建的帐户,并允许攻击者在不访问密码的情况下实现相同的目标。那么究竟什么是账户预劫持,您如何保护自己免受此类劫持?账户预劫持概念账户预劫持是一种新型的网络攻击。攻击者需要使用其他人的电子邮件地址来创建流行服务的帐户。当受害者尝试使用相同的电子邮件地址创建帐户时,攻击者拥有并保持帐户控制权。然后,攻击者可以访问受害者提供的任何信息。而且,在此之后的一段时间内,他们将继续保持对该账户的独占控制权。帐户预劫持的工作原理为了执行预劫持,攻击者首先需要访问一个电子邮件地址。而这些地址遍布暗网,比如当发生数据泄露事件时,大量的邮箱地址会被转储到暗网中。然后,攻击者将使用电子邮件地址在所有者尚未使用的流行服务上创建一个帐户。鉴于许多大型服务提供商通常提供广泛的服务堆栈,因此不难预测受害者会在某个时候注册这样的帐户。此外,这些活动通常是大规模进行的,以提高成功率。当受害者尝试使用电子邮件地址在目标服务上创建帐户时,他们会被告知该帐户已经存在并被要求重置密码。大多数受害者攻击者会质疑他们是否确实注册了帐户并按要求重置了密码。之后,攻击者将收到新账户密码的更新通知,并继续保留对该账户的访问权限。这种攻击的具体细节机制各不相同,但主要有五种不同的类型。帐户预劫持主要类型(1)经典联合合并攻击今天的许多在线平台让您选择联合身份(例如,您的帐户)或创建使用您的Gmail地址的新帐户。这样,如果攻击者用你的Gmail地址注册了一个账号,当你用你的Gmail账号登录时,你就有可能访问到同一个账号,从而遭受账号预劫持攻击。(2)未过期会话标识符(UnexpiredSessionIdentifier)攻击攻击者使用受害者的电子邮件地址来创建账户并保持活跃的会话。当受害者创建帐户并重置密码时,攻击者保留对该帐户的控制权,因为平台不会将原始攻击者从活动会话中注销。(3)木马标识符攻击攻击者创建一个帐户并添加进一步的帐户恢复选项,可以是另一个电子邮件地址或电话号码。这样,即使受害者可以重置帐户密码,攻击者仍然可以使用帐户恢复选项来控制它。(4)UnexpiredEmailChangeAttack攻击者创建一个帐户并发起更改电子邮件地址的请求。这样,他们会收到更改帐户电子邮件地址的链接,但他们不会完成该过程。受害者可以重置帐户密码,但这并不一定会使攻击者之前收到的链接失效。攻击者仍然可以使用该链接来控制该帐户。(5)非验证身份提供者(Non-VerifyingIdentityProvider)攻击攻击者使用不需要电子邮件地址认证的提供者来创建账户。当受害者使用相同的电子邮件地址注册时,他们可能都可以访问同一个帐户。帐户预劫持的可能性在正常情况下,如果攻击者使用您的电子邮件地址注册新帐户,他们通常会被要求验证电子邮件地址。假设他们没有入侵您的电子邮件帐户,那几乎是不可能的。但问题是,许多服务提供商允许用户在验证电子邮件之前打开和访问功能有限的帐户。这为攻击者提供了机会,无需身份验证即可为此类攻击准备帐户。易受攻击的“严重”平台Alexa研究人员测试了全球前150名中的75种不同类型的平台,发现其中35种平台存在潜在漏洞。这些平台包括LinkedIn、Instagram、WordPress和Dropbox等知名品牌。虽然研究人员已将潜在漏洞通知所有公司,但尚不清楚他们是否采取了足够的措施来防止此类攻击。对攻击受害者的伤害如果您受到此类攻击,攻击者将可以访问您提供的任何信息。根据帐户类型,这可能涉及私人个人信息。如果攻击者对您的电子邮件提供商执行此类攻击,他们甚至可能会试图冒充您。如果您的帐户非常有价值,它也可能被盗并要求赎金来赎回。帐户劫持前防御策略防范此威胁的主要措施是了解它的存在。如果您设置了一个帐户并被告知它已经存在,您应该使用不同的电子邮件地址进行注册。如果您为所有最重要的帐户使用不同的电子邮件地址,这种攻击几乎是不可能的。这种攻击的部分成功还来自用户未使用双因素身份验证(2FA)。如果您在设置帐户时启用双因素身份验证,其他有权访问该帐户的人将无法登录。当然,双因素身份验证也可以用来防范其他在线威胁,例如网络钓鱼和数据泄露。账户预劫持很容易避免账户劫持是一种常见的威胁,但账户预劫持是一种新型威胁,到目前为止,这种威胁大多是理论上的。注册许多在线服务时可能会发生这种情况,但目前尚未确定为频繁发生。虽然此类攻击的受害者可能会失去帐户访问权限并泄露个人信息,但也很容易避免。如果您注册一个新帐户并被告知帐户已经存在,请记住使用不同的电子邮件地址来完成注册。同时,练习帐户安全实践以防止和规避此类攻击。本文翻译自:https://www.makeuseof.com/what-is-account-pre-hijacking/
