account hacking

Các nghiên cứu mới nhất đã phát hiện ra rằng tin tặc có thể truy cập trái phép vào tài khoản trực tuyến của người dùng thông qua một kỹ thuật mới được gọi là “account pre-hijacking”.

Cuộc tấn công nhằm vào quá trình tạo tài khoản phổ biến trong các trang web và các nền tảng trực tuyến khác, cho phép hacker thực hiện một loạt các hành động trước khi nạn nhân không nghi ngờ mà tạo tài khoản trong một dịch vụ đã được nhắm tới trước.

Nghiên cứu này được chuyên gia bảo mật độc lập Avinash Sudhodanan phối hợp với Andrew Paverd thuộc Trung tâm Ứng phó Bảo mật của Microsoft (MSRC) dẫn đầu.

Pre-hijacking dựa vào điều kiện tiên quyết là kẻ tấn công đã sở hữu một số nhận dạng duy nhất được liên kết với nạn nhân, chẳng hạn như địa chỉ email hoặc số điện thoại, các thông tin có thể thu được từ các tài khoản mạng xã hội của mục tiêu hoặc các thông tin bị trôi nổi trên web do vô số các vụ vi phạm dữ liệu.

Sau đó, các cuộc tấn công có thể diễn ra theo năm cách khác nhau, bao gồm cả việc kẻ tấn công và nạn nhân sử dụng cùng một địa chỉ email trong quá trình tạo tài khoản, có khả năng cấp cho hai bên quyền truy cập đồng thời vào tài khoản.

Hậu quả của các cuộc tấn công pre-hijacking cũng giống như tấn công chiếm đoạt tài khoản ở chỗ chúng có thể cho phép kẻ thù lén lút truy cập thông tin bí mật của nạn nhân mà họ không biết, hoặc thậm chí mạo danh cá nhân tùy thuộc vào bản chất của dịch vụ.

Các chuyên gia cho biết: “Nếu kẻ tấn công có thể tạo tài khoản tại một dịch vụ được nhắm tới bằng địa chỉ email của nạn nhân trước khi nạn nhân tạo tài khoản, thì kẻ tấn công có thể sử dụng các kỹ thuật khác nhau để đưa tài khoản vào trạng thái pre-hijacked”.

email

“Sau khi nạn nhân khôi phục quyền truy cập và bắt đầu sử dụng tài khoản, kẻ tấn công có thể lấy lại quyền truy cập và chiếm lấy tài khoản”. Dưới đây là năm loại tấn công pre-hijacking bao gồm:

  • Classic-Federated Merge Attack, trong đó hai tài khoản được tạo bằng cách sử dụng các tuyến nhận dạng cổ điển và tuyến liên kết với cùng một địa chỉ email cho phép nạn nhân và kẻ tấn công truy cập vào cùng một tài khoản.
  • Unexpired Session Identifier Attack (Tấn công phiên không hết hạn) trong đó kẻ tấn công tạo tài khoản bằng địa chỉ email của nạn nhân và duy trì một phiên hoạt động kéo dài. Khi người dùng khôi phục tài khoản bằng cùng một địa chỉ email, kẻ tấn công tiếp tục duy trì quyền truy cập vì việc đặt lại mật khẩu không chấm dứt phiên hoạt động của kẻ tấn công.
  • Trojan identifier attack (Tấn công bằng trojan), trong đó kẻ tấn công tạo tài khoản bằng địa chỉ email của nạn nhân và sau đó thêm số nhận dạng trojan, chẳng hạn như địa chỉ email phụ hoặc số điện thoại dưới sự kiểm soát của chúng. Do đó, khi người dùng thực sự khôi phục quyền truy cập sau khi đặt lại mật khẩu, kẻ tấn công có thể sử dụng mã nhận dạng trojan để lấy lại quyền truy cập vào tài khoản.
  • Unexpired Email Change Attack (Tấn công email không hết hạn) trong đó kẻ tấn công tạo một tài khoản sử dụng địa chỉ email của nạn nhân và tiến hành thay đổi địa chỉ email thành một địa chỉ dưới sự kiểm soát của chúng. Khi bên dịch vụ gửi URL xác minh đến địa chỉ email mới, kẻ tấn công đợi nạn nhân khôi phục và bắt đầu sử dụng tài khoản trước khi hoàn tất quá trình thay đổi email để chiếm quyền kiểm soát tài khoản.
  • Tấn công Non-Verifying Identity Provider (IdP) trong đó kẻ tấn công tạo tài khoản với dịch vụ mục tiêu bằng cách sử dụng IdP không được xác minh. Nếu nạn nhân tạo tài khoản bằng phương pháp đăng ký cổ điển với cùng một địa chỉ email, điều này sẽ cho phép kẻ tấn công có quyền truy cập vào tài khoản.

Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ ​​Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ. Trong đó bao gồm 13 lỗ hổng Classic-Federated Merge, 19 lỗ hổng Unexpired Session Identifier, 12 lỗ hổng Trojan Identifier, 11 lỗ hổng Unexpired Email Change, và một lỗ hổng Non-Verifying IdP trên một vài nền tảng đáng chú ý bao gồm:

  • Dropbox – Unexpired Email Change
  • Instagram – Trojan Identifier
  • LinkedIn – Unexpired Session và Trojan Identifier
  • WordPress.com – Unexpired Session and Unexpired Email Change
  • Zoom – Classic-Federated Merge và Non-verifying IdP

Các chuyên gia cho biết: “Nguyên nhân gốc rễ của tất cả các cuộc tấn công […] là do không xác minh được quyền sở hữu”.

“Mặc dù nhiều dịch vụ thực hiện loại xác minh này, nhưng họ thường làm không đồng bộ, cho phép người dùng sử dụng một số tính năng nhất định của tài khoản trước khi nhận dạng được xác minh. Mặc dù điều này có thể cải thiện khả năng sử dụng (giảm bớt sự khó chịu của người dùng trong quá trình đăng ký), nhưng nó khiến cho người dùng dễ bị nhắm tới bằng tấn công pre-hijacking”.

hacking

Mặc dù việc triển khai xác minh nhận dạng số nghiêm ngặt trong các dịch vụ là rất quan trọng để giảm thiểu các cuộc tấn công pre-hijacking. Tuy nhiên người dùng cũng được khuyến cáo nên bảo mật tài khoản của họ bằng xác thực đa yếu tố (MFA).

Các chuyên gia lưu ý: “MFA được triển khai đúng cách sẽ ngăn tin tặc chiếm tài khoản bị tấn công pre-hijacked sau khi nạn nhân bắt đầu sử dụng tài khoản này. Bên cung cấp dịch vụ cũng phải làm mất hiệu lực bất kỳ phiên hoạt động nào được tạo trước khi kích hoạt MFA để ngăn chặn cuộc tấn công Unexpired Session”.

Ngoài ra, các dịch vụ trực tuyến cũng được khuyên nên xóa định kỳ các tài khoản chưa được xác minh, xác nhận thay đổi địa chỉ email và làm mất hiệu lực các phiên hoạt động trong khi đặt lại mật khẩu để có phương pháp tiếp cận chuyên sâu hơn về quản lý tài khoản.

Sudhodanan và Paverd cho biết : “Khi một dịch vụ hợp nhất một tài khoản được tạo qua tuyến cổ điển với một tài khoản được tạo thông qua tuyến liên kết (hoặc ngược lại), dịch vụ phải đảm bảo rằng người dùng hiện đang kiểm soát cả hai tài khoản”.

Theo Thehackernews