Co je account pre-hijacking a jak se chránit?

Zpět na blog

Bezpečnostní výzkumníci odhalili, že přibližně polovina nejnavštěvovanějších webových stránek na světě je zranitelná vůči novému druhu kybernetického útoku zvanému account pre-hijacking, což lze přeložit jako přeúnos účtu.

Poskytovatelé služeb navrhují jako řešení odklon od asynchronních ověřovacích procesů, zatímco uživatelé jsou vyzýváni, aby zavedli dvoufaktorové ověřování všude, kde je to možné. Vícefaktorové ověřování je však nutné kombinovat se správcem hesel, což zajistí vysokou ochranu před všemi různými typy krádeží identity.

Co je to před-únos účtu?

„Pre-hijacking“ je souhrnný termín používaný pro současnou třídu kybernetických útoků, které spočívají v převzetí kontroly nad účtem oběti na dané webové stránce. Tuto problematiku na svém blogu přibližují Avinash Sudhodanan a Andrew Paverd:

„Charakteristickým rysem těchto útoků je, že útočník provede nějakou akci předtím, než si oběť vytvoří účet, což útočníkovi umožňuje získání přístupu poté, co si oběť účet vytvoří/obnoví,“ vysvětluje Paverd v příspěvku na blogu.

Tímto způsobem se odchyluje od stávajících způsobů útoků, jako jsou například brute-forcing nebo password spraying, které se zaměřují na získávání hesel a dalších přihlašovacích údajů k účtům vázaným na existující účty pomocí různých metod pokus-omyl.

Výzkum naznačuje, že pre-hijacking útoky dostaly prostor kvůli mezerám mezi dvěma významnými způsoby vytváření účtů, které dnes většina webových stránek nabízí – „klasické“ vytváření účtů (zadání uživatelského jména nebo hesla) nebo přihlášení SSO (tj. „Přihlásit se pomocí Microsoft/Google/Facebook“).

Výzkumníci poukázali na to, že služby se často pokoušejí o ověření „asynchronně“ a že aspekty účtů jsou přístupné ještě před ověřením.

Existují různé způsoby, jak zneužít zranitelnosti, které převažující způsob vytváření účtů nechtěně vytváří – výzkumníci jich identifikovali nejméně pět.

Například „klasicko-federativní slučovací útok“ spočívá v tom, že aktér hrozby vytvoří účet klasickou cestou a počítá s tím, že nic netušící oběť si později vytvoří účet „federativní“ cestou s identickou e-mailovou adresou. Pokud daná služba tyto účty konsoliduje nezabezpečeným způsobem, může útočníkovi snadno poskytnout přístup.

Jiný způsob zahrnuje vytvoření účtu s e-mailovou adresou cíle, která bude následně změněna na e-mailovou adresu útočníka. Příslušná služba pak pošle ověřovací odkaz na tuto e-mailovou adresu, nikoli na e-mailovou adresu oběti, ale aktér hrozby počká, dokud oběť nezačne účet používat, aby potvrdil, že e-mail byl změněn.

Znepokojující je procento populárních webů, které jsou tímto druhem útoku zranitelné. Testováno bylo 75 ze 150 nejpopulárnějších webových stránek na webu a 35 z nich se ukázalo jako zneužitelných.

Výzkumníci naznačili, že vzhledem k objemu webů v tomto vzorku, které byly zranitelné, je vysoce pravděpodobné, že je zranitelná i řada dalších webů.

Zmírnění útoku – co můžete udělat?

Výzkumníci navrhují, že zmírnění tohoto typu útoku vyžaduje nasazení vícefaktorových metod ověřování – ovšem s výhradou, že relace účtu zahájené před zavedením vícefaktorového ověřování budou muset být automaticky odhlašovány.

K vyřešení tohoto problému by také přispěl hromadný odklon od asynchronního ověřování.

Zdroj: tech.co

6. 6. 2022