Pelajari Bagaimana Peretas Dapat Membajak Akun Online Anda Bahkan Sebelum Anda Membuatnya

account pre-hijacking

Pelaku jahat dapat memperoleh akses tidak sah ke akun online pengguna melalui teknik baru yang disebut “pembajakan akun,” penelitian baru telah ditemukan.

Serangan itu membidik proses pembuatan akun yang ada di mana-mana di situs web dan platform online lainnya, memungkinkan musuh melakukan serangkaian tindakan sebelum korban yang tidak menaruh curiga membuat akun di layanan target.

Studi ini dipimpin oleh peneliti keamanan independen Avinash Sudhodanan bekerja sama dengan Andrew Paverd dari Microsoft Security Response Center (MSRC).

Pra-pembajakan bank dengan prasyarat bahwa penyerang sudah memiliki pengidentifikasi unik yang terkait dengan korban, seperti alamat email atau nomor telepon, yang dapat diperoleh baik dari akun media sosial target atau dump kredensial yang beredar di web .

Keamanan cyber

Serangan kemudian dapat dimainkan dalam lima cara berbeda, termasuk penggunaan alamat email yang sama selama pembuatan akun oleh musuh dan korban, yang berpotensi memberikan kedua pihak akses bersamaan ke akun.

“Jika penyerang dapat membuat akun di layanan target menggunakan alamat email korban sebelum korban membuat akun, penyerang kemudian dapat menggunakan berbagai teknik untuk membuat akun tersebut ke status sebelum dibajak,” kata para peneliti.

pra-pembajakan akun

“Setelah korban memulihkan akses dan mulai menggunakan akun, penyerang dapat memperoleh kembali akses dan mengambil alih akun.” Lima jenis serangan pra-pembajakan di bawah ini –

  • Serangan Gabung Federasi Klasikdi mana dua akun yang dibuat menggunakan rute identitas klasik dan federasi dengan alamat email yang sama memungkinkan korban dan penyerang mengakses akun yang sama.
  • Serangan Pengenal Sesi yang Belum Kedaluwarsa, di mana penyerang membuat akun menggunakan alamat email korban dan mempertahankan sesi aktif yang berjalan lama. Ketika pengguna memulihkan akun menggunakan alamat email yang sama, penyerang terus mempertahankan akses karena pengaturan ulang kata sandi tidak menghentikan sesi penyerang.
  • Serangan Pengenal Trojan, di mana penyerang membuat akun menggunakan alamat email korban dan kemudian menambahkan pengenal trojan, misalnya, alamat email sekunder atau nomor telepon di bawah kendali mereka. Jadi ketika pengguna sebenarnya memulihkan akses setelah reset kata sandi, penyerang dapat menggunakan pengenal trojan untuk mendapatkan kembali akses ke akun.
  • Serangan Perubahan Email yang Belum Kedaluwarsa, di mana penyerang membuat akun menggunakan alamat email korban dan mulai mengubah alamat email tersebut menjadi alamat email yang berada di bawah kendali mereka. Ketika layanan mengirimkan URL verifikasi ke alamat email baru, penyerang menunggu korban pulih dan mulai menggunakan akun sebelum menyelesaikan proses perubahan email untuk mengambil kendali akun.
  • Serangan Penyedia Identitas (IdP) yang Tidak Memverifikasi, di mana penyerang membuat akun dengan layanan target menggunakan IdP non-verifikasi. Jika korban membuat akun menggunakan metode pendaftaran klasik dengan alamat email yang sama, ini memungkinkan penyerang untuk mendapatkan akses ke akun tersebut.
Related Post :   Lebih dari 200 Aplikasi di Play Store Tertangkap Memata-matai Pengguna Android Menggunakan Facestealer

Dalam evaluasi empiris dari 75 situs web paling populer dari Alexa, 56 kerentanan pra-pembajakan diidentifikasi pada 35 layanan. Ini termasuk 13 Penggabungan Federasi Klasik, 19 Pengidentifikasi Sesi yang Belum Kedaluwarsa, 12 Pengidentifikasi Trojan, 11 Perubahan Email yang Belum Kedaluwarsa, dan satu serangan IdP Non-Verifikasi –

  • Dropbox – Serangan Perubahan Email yang Belum Kedaluwarsa
  • Instagram – Serangan Pengenal Trojan
  • LinkedIn – Sesi yang Belum Kedaluwarsa dan Serangan Pengidentifikasi Trojan
  • WordPress.com – Sesi yang Belum Kedaluwarsa dan Serangan Perubahan Email yang Belum Kedaluwarsa, dan
  • Zoom – Gabungan Federasi Klasik dan Serangan IdP yang Tidak Memverifikasi

“Akar penyebab semua serangan […] adalah kegagalan untuk memverifikasi kepemilikan pengidentifikasi yang diklaim,” kata para peneliti.

Keamanan cyber

“Meskipun banyak layanan melakukan verifikasi jenis ini, mereka sering melakukannya secara tidak sinkron, memungkinkan pengguna untuk menggunakan fitur tertentu dari akun sebelum pengidentifikasi diverifikasi. Meskipun ini dapat meningkatkan kegunaan (mengurangi gesekan pengguna saat mendaftar), itu meninggalkan pengguna yang rentan terhadap serangan pra-pembajakan.”

pra-pembajakan akun

Meskipun menerapkan verifikasi pengenal yang ketat dalam layanan sangat penting untuk mengurangi serangan pra-pembajakan, pengguna disarankan untuk mengamankan akun mereka dengan otentikasi multi-faktor (MFA).

“MFA yang diterapkan dengan benar akan mencegah penyerang mengautentikasi ke akun yang telah dibajak setelah korban mulai menggunakan akun ini,” catat para peneliti. “Layanan juga harus membatalkan sesi apa pun yang dibuat sebelum aktivasi MFA untuk mencegah serangan Sesi yang Belum Kedaluwarsa.”

Related Post :   Apakah Anda Memiliki Asuransi Ransomware? Lihatlah Cetakan Halus

Selain itu, layanan online juga disarankan untuk menghapus akun yang belum diverifikasi secara berkala, menerapkan jendela rendah untuk mengonfirmasi perubahan alamat email, dan membatalkan sesi selama pengaturan ulang kata sandi untuk pendekatan pertahanan mendalam terhadap manajemen akun.

“Ketika layanan menggabungkan akun yang dibuat melalui rute klasik dengan yang dibuat melalui rute gabungan (atau sebaliknya), layanan harus memastikan bahwa pengguna saat ini mengontrol kedua akun,” kata Sudhodanan dan Paverd.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.