许多在线服务上可能遭受帐户劫持攻击，用户如何防护

在线帐户被劫持和滥用是每天发生的事情，但您是否知道帐户劫持前攻击也是可能的？受以前关于通过单点登录（SSO）技术进行抢先式帐户劫持的研究的启发，研究人员Avinash Sudhodanan和Andrew Paverd希望了解攻击者在受害者创建帐户之前执行的操作是否允许前者在受害者创建/恢复帐户后获得访问权限。

令人沮丧的是，他们发现不仅有几种方法可以发起帐户劫持前攻击，而且在他们测试的75个流行网站和在线服务中，至少有35个容易受到一个或多个变体的攻击。其中包括Instagram，LinkedIn，Dropbox，Zoom和 WordPress.com。

出现可利用的安全漏洞的部分原因是许多服务支持（至少）两种不同的帐户创建路由：“经典”（用户选择用户名/密码）和联合路由（通过身份提供商进行SSO，例如，“使用Microsoft/Google/LinkedIn/等登录”

“从根本上说，帐户预劫持漏洞的根本原因是服务未能在允许使用帐户之前验证用户是否实际拥有提供的标识符（例如电子邮件地址或电话号码），”Paverd解释说。

“尽管许多服务需要标识符验证，但它们通常是异步进行的，允许用户（或攻击者）在验证标识符之前使用帐户的某些功能。虽然这可能会提高可用性，但它为劫持前攻击创造了一个漏洞窗口。

研究人员确定了五种类型的劫持前攻击：

经典联合合并攻击：

使用受害者的电子邮件地址，攻击者通过“经典”路由创建帐户 -> 受害者稍后通过“联合”路由（使用相同的电子邮件地址）创建帐户 -> 服务将这两个帐户合并不安全，攻击者仍然可以访问该帐户。

未过期会话标识符攻击：

攻击者使用受害者的电子邮件地址，通过“经典”路由创建一个帐户，并维护一个长时间运行的活动会话 -> 受害者使用相同的电子邮件地址“恢复”帐户 -> 如果密码重置未使攻击者的会话失效，则攻击者将保留对该帐户的访问权限。

木马标识符攻击：

攻击者使用受害者的电子邮件地址，通过“经典”路由创建一个帐户 -> 攻击者向帐户添加特洛伊木马标识符（例如攻击者的联合身份或其他攻击者控制的电子邮件地址或电话号码） -> 当受害者重置密码时，攻击者可以使用此木马标识符重新获得对帐户的访问权限（例如，通过重置密码）。

未过期的电子邮件更改攻击：

攻击者使用受害者的电子邮件地址创建一个帐户，并开始将帐户的电子邮件地址更改为攻击者自己的电子邮件地址的过程 - >该服务向攻击者的电子邮件地址发送验证URL，但攻击者仅在受害者恢复帐户并开始使用它后才确认更改。

非验证 IdP 攻击：

攻击者利用的 IdP 在创建联合身份时不验证电子邮件地址的所有权 -> 攻击者在目标服务中创建一个帐户，并等待受害者使用“经典”路由创建帐户 -> 如果服务根据电子邮件地址错误地合并了两个帐户， 攻击者可以访问受害者的帐户。

对于所有这些攻击，攻击者必须知道/发现目标的电子邮件地址 - 在这个数字时代这是一个相对容易的壮举 - 并确定受害者没有帐户的服务（但将来可能会创建一个帐户）。

“攻击者可能会观察到服务（例如，当人们需要在家工作时的视频会议服务）的受欢迎程度普遍增加，并使用通过网站抓取或凭据转储找到的电子邮件地址为该服务预劫持帐户，”他解释说。

或者，作为另一个例子，攻击者可能会针对在一个平台上具有强大影响力的社交媒体“影响者”，并在另一个社交媒体平台上预先劫持他们的帐户，该平台正在迅速成为“下一件大事”。

在线服务和最终用户可以做什么？

研究人员已经将他们发现的漏洞通知了35个在线服务，并确认指定的在线服务已经修复了它们。希望其他人也已经或正在这样做。

“但是，除了我们分析的75个网站和在线服务之外，其他网站和在线服务也极有可能容易受到这些攻击，”Paverd说，并详细说明了他们可能实施的几种针对帐户创建的纵深防御安全措施，以确保无法执行这些攻击。

最终用户还可以采取一些措施来保护自己免受劫持前攻击：他们可以在创建帐户后立即对其帐户启用多重身份验证 （MFA）。

“正确实现的MFA将防止攻击者在受害者开始使用此帐户后对预劫持的帐户进行身份验证。该服务还必须使激活MFA之前创建的任何会话无效，以防止未过期会话攻击。”Paverd总结道。

原文转自csoonline，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！