Исследователи нашли уязвимости на сайтах Zoom, WordPress, LinkedIn, Instagram и Dropbox...
Предварительный захват аккаунта
Эндрю Паверд, аналитик Microsoft Security Response Center, и Авинаш Судходанан, независимый исследователь IT-безопасности, рассказали про новые типы атак – «Pre-hijacking Attacks», нацеленные на web-сайты и online-сервисы. Они обнаружили, что хакеры могут скомпрометировать ваши аккаунты ещё до того, как вы их зарегистрируете.
Эксперты проанализировали 75 популярных online-сервисов и выяснили, что по крайней мере 35 из них уязвимы для атак с предварительным взломом учётной записи. Среди которых всеми любимые Zoom, LinkedIn, WordPress, Instagram и Dropbox.
Какие цели и последствия?
Исход после атак «Pre-hijacking Attacks» такой же, как при захвате учётной записи. В зависимости от целей злоумышленник может прочитать или изменить конфиденциальную информацию, относящуюся к учётной записи жертвы. К примеру, переписку, платёжные документы, выписки по счетам, историю использования и многое другое. Также от вашего имени мошенник сможет отправить фишинговые электронные сообщения или оплатить несанкционированные покупки и услуги с помощью сохранённых способов оплаты.
Для финансовых учреждений захват аккаунта может привести к снятию или переводу крупных сумм денег со счета. Для остальных компаний – к краже интеллектуальной собственности или коммерческой тайны и потери деловой репутации.
Как происходит атака?
Для атаки хакер должен знать адрес электронной почты своей жертвы. В наши дни узнать электронный адрес проще простого – с помощью обычной переписки или многочисленных утечек данных, которые происходят ежедневно по всему миру.
Затем злоумышленник переходит ко второму шагу. С помощью чужого email-адреса он создаёт учётную запись на уязвимом сайте и надеется, что жертва не обратит внимания на уведомление в своей электронной почте, приняв его за обычный спам.
Далее мошеннику остаётся дождаться момента, когда жертва решит зарегистрироваться на сайте. А чтобы не пришлось долго ждать, он обманом вынуждает создать учётную запись.
5 атак, которых стоит опасаться
Итог всех вышеописанных манипуляций хакера – возможность провести 5 различных атак:
- Classic-Federated Merge Attack (CFM) – слияние аккаунтов. В этом случае жертва создаёт аккаунт с уже зарегистрированным email-адресом, а уязвимый сайт объединяет две учётные записи, и в некоторых случаях не сообщает об этом факте. Атака базируется на предоставлении жертве возможности авторизации посредством Single-Sign-On (SSO), чтобы не нужно было изменять пароль, который ранее установил хакер.
- Unexpired Session Identifier Attack (US) – неистекший сеанс. Здесь после создания учётной записи хакер сохраняет сеанс активным посредством автоматизированного скрипта. Как только жертва регистрирует учётную запись и сбрасывает пароль, активный сеанс не сбрасывается, а злоумышленник сохраняет свой доступ к аккаунту.
- Trojan Identifier Attack (TID) – троянский идентификатор. Атака включает в себя комбинацию из первого и второго способов. «Атакующий регистрирует учётную запись на email-адрес жертвы, а далее связывает её со своей учётной записью IdP (Identity provider) для федеративной аутентификации. Когда жертва сбрасывает пароль, как и при US-атаке, хакер по-прежнему сохраняет доступ к аккаунту с помощью федеративной аутентификации», – именно так описали процесс атаки исследователи.
- Unexpired Email Change Attack (UEC) – изменение неистекшего электронного адреса. Атакующий создаёт учётную запись на электронный адрес жертвы, и затем отправляет запрос на смену этого адреса, но не подтверждает его. А после того, как жертва сама сбросит пароль, хакер подтверждает изменение и получает доступ к учётной записи.
- Non-Verifying IdP Attack (NV) – отсутствие проверки провайдера личности. Для этой атаки злоумышленник воспользуется отсутствием верификации собственности IdP при создании учётной записи. Благодаря этому он может использовать облачные логин-сервисы, как Okta и Onelogin
Как обезопасить учётную запись?
Сегодня захват учётных записей – одна из самых серьёзных угроз, когда злоумышленник пытается получить несанкционированный доступ к аккаунту пользователя жертвы. Организации не зря пытаются обезопасить себя и вкладывают значительные ресурсы, чтобы предотвратить атаки.
Как оказалось, наиболее распространённой из всех является проблема неистекшего сеанса – Unexpired Session Identifier Attack (US). Яркими примерами крупных и одновременно уязвимых платформ стали Dropbox (UEC), Instagram (TID), LinkedIn (US), WordPress.com (US и UEC) и Zoom (CFM и NV). Про все обнаруженные проблемы исследователи сообщили специалистам компаний, и многие уже исправили уязвимости, присвоив им категорию высокой серьёзности.
А вы позаботились о безопасности своей компании? Нужна защита? Обращайтесь!
Мы найдём уязвимости, оценим риски и разработаем для вас комплексную стратегию защиты. Наша IT-компания «+Альянс» защитит ваш бизнес и клиентов от захвата учётных записей!
Бесплатная консультация по любым вопросам.