Cách chiếm tài khoản trực tuyến trước cả khi người dùng tạo tài khoản

Các nghiên cứu mới nhất đã phát hiện ra rằng tin tặc có thể truy cập trái phép vào tài khoản trực tuyến của người dùng thông qua một kỹ thuật mới được gọi là “account pre-hijacking”.

Cuộc tấn công nhằm vào quá trình tạo tài khoản phổ biến trong các trang web và các nền tảng trực tuyến khác, cho phép hacker thực hiện một loạt các hành động trước khi nạn nhân không nghi ngờ mà tạo tài khoản trong một dịch vụ đã được nhắm tới trước.

Nghiên cứu này được chuyên gia bảo mật độc lập Avinash Sudhodanan phối hợp với Andrew Paverd thuộc Trung tâm Ứng phó Bảo mật của Microsoft (MSRC) dẫn đầu.

Pre-hijacking dựa vào điều kiện tiên quyết là kẻ tấn công đã sở hữu một số nhận dạng duy nhất được liên kết với nạn nhân, chẳng hạn như địa chỉ email hoặc số điện thoại, các thông tin có thể thu được từ các tài khoản mạng xã hội của mục tiêu hoặc các thông tin bị trôi nổi trên web do vô số các vụ vi phạm dữ liệu.

Sau đó, các cuộc tấn công có thể diễn ra theo năm cách khác nhau, bao gồm cả việc kẻ tấn công và nạn nhân sử dụng cùng một địa chỉ email trong quá trình tạo tài khoản, có khả năng cấp cho hai bên quyền truy cập đồng thời vào tài khoản.

Hậu quả của các cuộc tấn công pre-hijacking cũng giống như tấn công chiếm đoạt tài khoản ở chỗ chúng có thể cho phép kẻ thù lén lút truy cập thông tin bí mật của nạn nhân mà họ không biết, hoặc thậm chí mạo danh cá nhân tùy thuộc vào bản chất của dịch vụ.

Các chuyên gia cho biết: “Nếu kẻ tấn công có thể tạo tài khoản tại một dịch vụ được nhắm tới bằng địa chỉ email của nạn nhân trước khi nạn nhân tạo tài khoản, thì kẻ tấn công có thể sử dụng các kỹ thuật khác nhau để đưa tài khoản vào trạng thái pre-hijacked”.

 “Sau khi nạn nhân khôi phục quyền truy cập và bắt đầu sử dụng tài khoản, kẻ tấn công có thể lấy lại quyền truy cập và chiếm lấy tài khoản”. Dưới đây là năm loại tấn công pre-hijacking bao gồm:

Classic-Federated Merge Attack, trong đó hai tài khoản được tạo bằng cách sử dụng các tuyến nhận dạng cổ điển và tuyến liên kết với cùng một địa chỉ email cho phép nạn nhân và kẻ tấn công truy cập vào cùng một tài khoản.

Unexpired Session Identifier Attack (Tấn công phiên không hết hạn) trong đó kẻ tấn công tạo tài khoản bằng địa chỉ email của nạn nhân và duy trì một phiên hoạt động kéo dài. Khi người dùng khôi phục tài khoản bằng cùng một địa chỉ email, kẻ tấn công tiếp tục duy trì quyền truy cập vì việc đặt lại mật khẩu không chấm dứt phiên hoạt động của kẻ tấn công.

Trojan identifier attack (Tấn công bằng trojan), trong đó kẻ tấn công tạo tài khoản bằng địa chỉ email của nạn nhân và sau đó thêm số nhận dạng trojan, chẳng hạn như địa chỉ email phụ hoặc số điện thoại dưới sự kiểm soát của chúng. Do đó, khi người dùng thực sự khôi phục quyền truy cập sau khi đặt lại mật khẩu, kẻ tấn công có thể sử dụng mã nhận dạng trojan để lấy lại quyền truy cập vào tài khoản.

Unexpired Email Change Attack (Tấn công email không hết hạn) trong đó kẻ tấn công tạo một tài khoản sử dụng địa chỉ email của nạn nhân và tiến hành thay đổi địa chỉ email thành một địa chỉ dưới sự kiểm soát của chúng. Khi bên dịch vụ gửi URL xác minh đến địa chỉ email mới, kẻ tấn công đợi nạn nhân khôi phục và bắt đầu sử dụng tài khoản trước khi hoàn tất quá trình thay đổi email để chiếm quyền kiểm soát tài khoản.

Tấn công Non-Verifying Identity Provider (IdP) trong đó kẻ tấn công tạo tài khoản với dịch vụ mục tiêu bằng cách sử dụng IdP không được xác minh. Nếu nạn nhân tạo tài khoản bằng phương pháp đăng ký cổ điển với cùng một địa chỉ email, điều này sẽ cho phép kẻ tấn công có quyền truy cập vào tài khoản.

Theo Thehackernews