译者|陈军评论|孙淑娟,控制他人账户的行为。虽然这种类型的攻击非常普遍,但攻击者需要提前知道受害者的密码才能成功。现在,研究人员发现了一种被称为账户预劫持(Pre-Hijacking)的新型攻击。它不仅涉及利用尚未创建的帐户,而且允许攻击者无需访问密码即可达到目标。下面,我们就来看看什么是账户预劫持,以及如何避免。什么是账户预劫持?账户预劫持是一种新型的网络攻击方式。攻击者需要使用其他人的电子邮件地址在一些常用的流行服务上创建一个新帐户。当受害者尝试使用相同的电子邮件地址创建帐户时,攻击者将拥有并保留对该帐户的控制权。以此为基础,攻击者可以获取受害者持有的各种机密信息。此外,他们将在此后的一段时间内继续对该帐户拥有独占控制权。帐户预劫持如何工作要实现预劫持,攻击者首先需要访问一个电子邮件地址。这些地址通常可以在暗网上轻松获得。例如,当某平台发生数据泄露事件时,大量邮箱地址被打包、转售并发布在暗网上。通过查找和比较,攻击者可以在电子邮件域的所有者最近打开或当前正在使用的流行服务上创建一个新帐户。正是因为许多大型服务提供商经常提供广泛的服务堆栈,所以攻击者很容易实施此类攻击。同时,攻击者往往分批进行此类攻击,以增加成功几率。稍后,当受害者尝试在目标服务上创建一个相同的帐户时,他们会被告知该帐户已经存在,并被要求重置现有密码。而很多受害者会质疑自己过去的行为,然后老老实实地重新设置所谓的“现有”密码。此时,攻击者将能够立即收到新帐户密码更新的通知,并继续保留对该帐户的访问权限。账号预劫持的攻击类型在了解了账号预劫持的概念和攻击步骤之后,我们来讨论一下该类攻击的具体机制。一般来说,我们可能会遇到五种不同类型的帐户预劫持攻击:Classic-FederatedMergeattack今天的许多在线服务都让您可以选择使用联合身份(例如,您的Gmail帐户)登录,或使用您的Gmail地址创建一个新帐户。显然,如果攻击者已经注册了你的Gmail地址,当你使用Gmail账号登录时,你就有可能访问到同一个账号并遭受后续攻击。未过期会话标识符(UnexpiredSessionIdentifier)攻击攻击者使用受害者的电子邮件地址提前创建一个帐户并保持活跃的会话。当受害者创建帐户并重置密码时,攻击者保留了对该帐户的控制权,因为平台没有将原始攻击者从活动会话中注销。TrojanIdentifierattack攻击者预先创建一个帐户,并在帐户中添加可以进一步恢复的选项,例如:另一个电子邮件地址,或电话号码。好吧,虽然受害者可以重置该帐户的密码,但攻击者仍然可以使用帐户恢复选项来重新获得控制权。UnexpiredEmailChangeAttack攻击者先前创建了一个帐户并发起了更改电子邮件地址的请求。他们当然会收到更改帐户电子邮件地址的链接,但他们并未完成该过程。此时,受害者继续重置帐户密码,但这并没有使攻击者之前收到的链接失效。据此,攻击者仍然可以使用链接来控制帐户,包括重置密码等操作。非验证身份提供商攻击攻击者使用不需要电子邮件地址身份验证的提供商创建帐户。那么当受害者使用相同的邮箱注册时,就相当于在协助攻击者完善这个新的账号。然后他们使用相同的帐户进行后续访问。帐户预劫持的可能性在正常情况下,如果攻击者使用您的电子邮件地址注册新帐户,那么他们将被要求验证电子邮件地址。在您的电子邮件帐户遭到破坏之前,攻击者不可能得逞。但是,如前所述,问题是许多服务提供商会允许用户在验证电子邮件之前打开和访问功能有限的帐户。这使攻击者有机会为后续攻击准备此类帐户,而无需验证。哪些平台易受攻击?Alexa研究人员测试了来自世界顶级流媒体平台的75种不同类型的平台。他们发现此类潜在漏洞在35个平台中普遍存在。其中有很多:LinkedIn、Instagram、WordPress和Dropbox等一线平台。虽然研究人员通知了所有发现存在此类漏洞的公司,但尚不清楚哪些公司已采取足够的措施来抵御此类攻击。如果受到攻击会怎样?如果您受到此类攻击,攻击者将可以访问您账户中的任何信息,并可以进一步根据账户类型推断出更多关于用户的个人信息。同时,如果攻击者站在邮件提供商的角度发起攻击,他们不仅可以冒充您的身份,还可以通过您的账户窃取与其绑定的支付平台上的金额。当然,他们也可能会用赃款或账户控制权扣押你支付赎金。如何防止账户预劫持我们防范此类威胁的主要方法有以下几种:如果您设置了一个账户,并被告知该账户已经存在,您应该使用不同的电子邮件地址完成注册。此外,为所有重要帐户使用单独的电子邮件地址,以避免将风险集中在一个篮子中。此类攻击特别适用于依赖不使用双因素身份验证(2FA)的用户。因此,如果您在设置帐户时启用了2FA,您将能够在入门级阻止此类攻击。当然,2FA还可以有效应对网络钓鱼和数据泄露等在线威胁。总结综上所述,账户劫持非常普遍,而账户预劫持是一种相对较新的威胁。当用户注册了各种在线服务(无论好坏)时,就会出现这种情况的典型场景。当然,这只是理论上的证明,还没有被公认为多发案例。一般来说,我们可以通过业界通用的账户安全实践来防范和规避??此类攻击。译者介绍51CTO社区编辑JulianChen。他在实施IT项目方面拥有超过十年的经验。善于控制内外部资源和风险。他专注于传播网络和信息安全方面的知识和经验。翻译等形式分享前沿技术和新知识;经常在线上和线下开展信息安全培训和讲座。原标题:什么是账户预劫持及其工作原理?,作者:ELLIOTNESBO
