了解黑客如何在您创建在线帐户之前劫持您的帐户

最新研究发现，恶意行为者可以通过一种称为“账户预劫持”的新技术获得对用户在线账户的未经授权访问。

攻击的目标是在网站和其他在线平台中普遍存在的帐户创建过程，使对手能够在毫无戒心的受害者在目标服务中创建帐户之前执行一组操作。

这项研究由独立安全研究员Avinash Sudhodanan和微软安全响应中心（MSRC）的AndrewPaverd共同领导。

预劫持银行的前提是攻击者已经拥有与受害者相关的唯一标识符，如电子邮件地址或电话号码，这些信息可以通过抓取目标的社交媒体帐户或无数数据泄露导致的网上凭证转储获得。

然后，这些攻击可以以五种不同的方式进行，包括对手和受害者在创建帐户时使用相同的电子邮件地址，从而可能允许双方同时访问该帐户。

劫持前攻击的后果与账户劫持的后果相同，因为它们可能允许对手在不知情的情况下秘密访问受害者的机密信息，甚至根据服务的性质冒充个人。

研究人员说：“如果攻击者可以在受害者创建帐户之前使用受害者的电子邮件地址在目标服务上创建帐户，那么攻击者可以使用各种技术将帐户置于被劫持前的状态。”

“在受害者恢复访问权限并开始使用该帐户后，攻击者可以重新获得访问权限并接管该帐户。”以下是五种类型的劫持前攻击-

• 经典联合合并攻击，其中使用具有相同电子邮件地址的经典和联合身份路由创建的两个帐户允许受害者和攻击者访问相同的帐户。

• 未过期的会话标识符攻击，攻击者使用受害者的电子邮件地址创建一个帐户，并维护一个长期运行的活动会话。当用户使用相同的电子邮件地址恢复帐户时，攻击者将继续保持访问权限，因为密码重置没有终止攻击者的会话。

• 特洛伊木马标识符攻击，攻击者使用受害者的电子邮件地址创建一个帐户，然后添加特洛伊木马标识符，例如二级电子邮件地址或其控制下的电话号码。因此，当实际用户在重置密码后恢复访问时，攻击者可以使用特洛伊木马标识符恢复对该帐户的访问。

• 未过期的电子邮件更改攻击，攻击者使用受害者的电子邮件地址创建一个帐户，并继续将电子邮件地址更改为受其控制的地址。当服务向新的电子邮件地址发送验证URL时，攻击者会等待受害者恢复并开始使用该帐户，然后再完成电子邮件更改过程以获取对该帐户的控制权。

• 非验证身份提供程序（IdP）攻击，其中攻击者使用非验证IdP在目标服务中创建帐户。如果受害者使用相同电子邮件地址的经典注册方法创建帐户，则攻击者可以访问该帐户。

在Alexa对75个最受欢迎的网站进行的实证评估中，在35个服务上发现了56个劫持前漏洞。这包括13个经典的联邦合并、19个未过期的会话标识符、12个特洛伊木马标识符、11个未过期的电子邮件更改，以及一个跨多个著名平台的未验证IdP攻击

• Dropbox-未过期的电子邮件更改攻击
• Instagram-特洛伊木马标识符攻击
• LinkedIn-未过期的会话和特洛伊木马标识符攻击
• Wordpress。com-未过期的会话和未过期的电子邮件更改攻击，以及
• Zoom-经典的联合合并和非验证IdP攻击

“所有袭击的根本原因[……]就是无法验证所声称的标识符的所有权，”研究人员说。

“虽然许多服务确实执行这种类型的验证，但它们通常是异步执行的，允许用户在验证标识符之前使用帐户的某些功能。虽然这可能会提高可用性（减少用户在注册过程中的摩擦），但它使用户容易受到劫持前的攻击。”

虽然在服务中实施严格的标识符验证对于减轻劫持前攻击至关重要，但建议用户使用多因素身份验证（MFA）保护其帐户。

研究人员指出：“正确实施的MFA将防止攻击者在受害者开始使用该帐户后，对被劫持前的帐户进行身份验证。”。“该服务还必须使在激活MFA之前创建的任何会话无效，以防止未过期的会话攻击。”

除此之外，还建议在线服务定期删除未经验证的帐户，强制执行较低的窗口以确认电子邮件地址的更改，并在密码重置期间使会话无效，以便采用深入防御的帐户管理方法。

Sudhodanan和Paverd说：“当服务将通过经典路由创建的帐户与通过联邦路由创建的帐户合并（反之亦然）时，服务必须确保用户当前控制这两个帐户。”