چگونه هکرها می توانند اکانت های شما را قبل از اینکه آنها را ایجاد کنید، هک کنند

تحقیقات جدید نشان می‌دهد که هکرها می‌توانند از طریق تکنیک جدیدی به نام «account pre-hijacking» به حساب‌های کاربران دسترسی غیرمجاز داشته باشند.

هدف این حمله ایجاد حساب کاربری است که در همه وب‌سایت‌ها و دیگر پلتفرم‌ها وجود دارد و به هکر امکان می‌دهد تا مجموعه‌ای از اقدامات را قبل از ایجاد یک حساب کاربری در یک سرویس توسط یک قربانی (بدون اطلاع) انجام دهد.

این مطالعه توسط محقق امنیتی آویناش سودهدانان و با همکاری اندرو پاورد از مرکز امنیتی مایکروسافت (MSRC) انجام شد.

ا Pre-hijacking بانک‌ها با این شرط که هکر از قبل یک شناسه منحصربه‌فرد مرتبط با قربانی را در اختیار داشته باشد، مانند ایمیل یا شماره تلفن، که می‌تواند از سوشال مدیا قربانی یا اطلاعات موجود در وب دست یافت انجام بپذیرد. 

حملات می توانند به پنج روش مختلف انجام شوند، از جمله استفاده از یک  ایمیل در هنگام ایجاد حساب توسط هکر و قربانی، که به طور بالقوه به دو طرف امکان دسترسی همزمان به حساب را می دهد.

محققان می‌گویند: «اگر هکر بتواند قبل از ایجاد حساب توسط قربانی با استفاده از  ایمیل قربانی، یک حساب کاربری در یک سرویس هدف ایجاد کند، هکر می‌تواند از تکنیک‌های مختلفی برای قرار دادن حساب در حالت از قبل هک شده استفاده کند.

پس از اینکه قربانی وارد حساب خود شد و شروع به استفاده از حساب کرد، هکر می‌تواند دوباره دسترسی پیدا کند و حساب را هک کند. پنج نوع حمله pre-hijacking در زیر آمده است:

حمله Classic-Federated Merge، که در آن دو حساب ایجاد شده با استفاده از فاکتور های احراز هویت و ایمیل یکسان به قربانی و هکر اجازه دسترسی به یک حساب را می دهد.

حمله Unexpired Session Identifier، که در آن هکر با استفاده از ایمیل قربانی یک حساب کاربری ایجاد می کند و به یک سشن فعال طولانی مدت دسترسی پیدا می کند. هنگامی که کاربر با استفاده از همان ایمیل حساب را بازیابی می کند، هکر همچنان به دسترسی خود ادامه می دهد زیرا بازنشانی رمز عبور سشن هکر را  نمی سوزاند.

ا Trojan Identifier Attack، که در آن هکر با استفاده از ایمیل قربانی یک حساب کاربری ایجاد می کند و سپس یک تروجان، مثلاً یک  ایمیل ثانویه یا یک شماره تلفن تحت کنترل خود اضافه می کند. بنابراین هنگامی که کاربر واقعی پس از بازنشانی رمز عبور، دسترسی را بازیابی می کند، مهاجم می تواند از شناسه تروجان برای دسترسی مجدد به حساب استفاده کند.

حمله Unexpired Email Change، که در آن مهاجم با استفاده از ایمیل قربانی یک حساب کاربری ایجاد می کند و ایمیل را به یکی از آدرس های تحت کنترل خود تغییر می دهد. هنگامی که سرویس یک لینک تأیید را به آدرس ایمیل جدید ارسال می کند، مهاجم منتظر می ماند تا قربانی وارد حساب شود و قبل از تکمیل فرآیند تغییر ایمیل برای در دست گرفتن کنترل حساب، شروع به استفاده از حساب کند.

حمله Non-Verifying Identity Provider (IdP)، که در آن هکر با استفاده از یک IdP وریفای نشده، یک حساب کاربری در سرویس هدف ایجاد می‌کند. اگر قربانی با استفاده از روش ثبت نام کلاسیک با همان آدرس ایمیل یک حساب کاربری ایجاد کند، هکر را قادر می‌سازد تا به حساب کاربری دسترسی پیدا کند.

در یک ارزیابی از 75 وب سایت محبوب الکسا، 56 آسیب پذیری pre-hijacking در 35 سرویس شناسایی شد. این شامل 13 Classic-Federated Mergeا، 19 Unexpired Sessionا، 12 Trojan Identifier Attackا، 11 Unexpired Email Change، و یک حمله IdP وریفای نشده است –

• Dropbox – Unexpired Email Change Attack
• Instagram – Trojan Identifier Attack
• LinkedIn – Unexpired Session and Trojan Identifier Attacks
• WordPress.com – Unexpired Session and Unexpired Email Change Attacks
• Zoom – Classic-Federated Merge and Non-verifying IdP Attacks

محققان گفتند: “علت اصلی همه حملات عدم تایید مالکیت حساب می‌باشد.”

اگرچه بسیاری از سرویس‌ها این نوع تأیید را انجام می‌دهند، اما اغلب این کار را به‌صورت نادرست انجام می‌دهند و به کاربر اجازه می‌دهند تا قبل از تأیید هویت از امکانات خاصی استفاده کند. اگرچه این ممکن است راحتی استفاده به کاربر بدهد اما، کاربر را در برابر حملات pre-hijacking آسیب پذیر می کند.

در حالی که اجرای تأیید هویت در سرویس ها برای کاهش حملات pre-hijacking بسیار مهم است، توصیه می شود که کاربران حساب های خود را با احراز هویت چند مرحله ای (MFA) ایمن کنند.

محققان به این موضوع اشاره کردن که:اگر که MFA به درستی پیاده سازی شده باشد، پس از شروع استفاده قربانی از حساب خود، احراز هویتMFA جلوی یک هکر را برای دسترسی به یک حساب pre-hijacking میگیرد.

پیامد حملات pre-hijacking مانند سرقت حساب است که می تواند به هکر اجازه دهد تا بدون اطلاع صاحب اصلی حساب به طور مخفیانه به اطلاعات محرمانه قربانی دسترسی داشته باشد یا حتی بسته به ماهیت سرویس جعل هویت شخص را جعل کند.

همچنین سرویس باید هر سشن ایجاد شده قبل از فعال سازی MFA را برای جلوگیری از حمله Unpired Session باطل کند.

علاوه بر این، به سرویس‌های آنلاین توصیه می‌شود که به صورت دوره‌ای حساب‌های تأیید نشده را حذف کنند، یک مرحله برای تأیید تغییر ایمیل اعمال کنند، و سشن ها را در هنگام بازنشانی رمز عبور، بی‌اعتبار کنند.