Únos účtu je akt převzetí kontroly nad účtem někoho jiného. Obvykle se provádí v naději na krádež osobních údajů, vydávání se za oběť nebo její vydírání. Únos účtu je běžný problém, ale není snadné jej provést. Aby byl útočník úspěšný, musí zjevně zjistit heslo oběti.
Vědci objevili nový typ útoku známý jako před únosem účtu. Zahrnuje účty, které ještě nebyly vytvořeny, a umožňuje útočníkům dosáhnout stejného cíle bez přístupu k heslu.
Co je tedy před únosem účtu a jak se před ním můžete chránit?
Co je před únosem účtu?
Pre-ukradení účtu je nový typ kybernetického útoku. Útočník si vytvoří účet na oblíbené službě pomocí e-mailové adresy někoho jiného.
Když se oběť pokusí vytvořit účet pomocí stejné e-mailové adresy, útočník si ponechá kontrolu nad účtem. Veškeré informace poskytnuté obětí jsou pak přístupné útočníkovi a ten pak může později převzít výhradní kontrolu nad účtem.
Jak funguje před únosem účtu?
Aby mohl útočník provést před únosem, potřebuje nejprve přístup k e-mailové adrese. Ty jsou široce dostupné na temném webu. Když
dojde k porušení dat, velké dávky e-mailových adres jsou obvykle publikovány jako výpisy dat.Útočník si poté vytvoří účet na oblíbené službě, kterou vlastník e-mailové adresy dosud nepoužil. Tento útok je možný u mnoha velkých poskytovatelů služeb, takže předpovídat, že oběti budou v určitém okamžiku chtít takový účet, není nutně obtížné.
To vše se provádí hromadně v naději, že určitý počet útoků bude nakonec úspěšný.
Když se oběť pokusí vytvořit účet na cílené službě, bude jí sděleno, že již účet má, a bude požádána o resetování hesla. Mnoho obětí resetuje své heslo za předpokladu, že jde o chybu.
Útočník pak bude upozorněn na nový účet a může si k němu ponechat přístup.
Konkrétní mechanismus, kterým k tomuto útoku dochází, se liší, ale existuje pět různých typů.
Klasický federovaný slučovací útok
Mnoho online platforem vám dává na výběr mezi přihlášením pomocí federované identity, jako je váš účet Gmail, nebo vytvořením nového účtu pomocí vaší adresy Gmail. Pokud se útočník zaregistruje pomocí vaší adresy Gmail a vy se přihlásíte pomocí účtu Gmail, je možné, že oba budete mít přístup ke stejnému účtu.
Nevypršený útok pomocí identifikátoru relace
Útočník si vytvoří účet pomocí e-mailové adresy oběti a obě udržují aktivní relaci. Když si oběť vytvoří účet a resetuje své heslo, útočník si ponechá kontrolu nad účtem, protože je platforma neodhlásila z aktivní relace.
Trojan Identifier Attack
Útočník vytvoří účet a přidá další možnost obnovení účtu. Může to být jiná e-mailová adresa nebo telefonní číslo. Oběť může resetovat heslo účtu, ale útočník může stále použít možnost obnovení účtu, aby nad ním převzal kontrolu.
Nevypršelý útok na změnu e-mailu
Útočník vytvoří účet a zahájí změnu e-mailové adresy. Obdrží odkaz na změnu e-mailové adresy účtu, ale proces nedokončí. Oběť může resetovat heslo účtu, ale nemusí to nutně deaktivovat odkaz, který útočník obdržel. Útočník pak může použít odkaz k převzetí kontroly nad účtem.
Neověřující útok na poskytovatele identity
Útočník vytvoří účet pomocí poskytovatele identity, který neověřuje e-mailové adresy. Když se oběť zaregistruje pomocí stejné e-mailové adresy, je možné, že obě budou mít přístup ke stejnému účtu.
Jak je možné předběžné odcizení účtu?
Pokud se útočník zaregistruje k účtu pomocí vaší e-mailové adresy, bude obvykle požádán o ověření e-mailové adresy. Za předpokladu, že nenapadli váš e-mailový účet, to nebude možné.
Problém je v tom, že mnoho poskytovatelů služeb umožňuje uživatelům ponechat účet otevřený s omezenou funkčností před ověřením e-mailu. To umožňuje útočníkům připravit účet na tento útok bez ověření.
Které platformy jsou zranitelné?
Výzkumníci testovali 75 různých platforem z top 150 podle Alexy. Zjistili, že 35 z těchto platforem je potenciálně zranitelných. Patří sem velká jména jako LinkedIn, Instagram, WordPress a Dropbox.
Všechny společnosti, které byly odhaleny jako zranitelné, byly výzkumníky informovány. Není však známo, zda byla přijata dostatečná opatření, aby se těmto útokům zabránilo.
Co se stane s obětí?
Pokud tomuto útoku podlehnete, všechny informace, které poskytnete, budou přístupné útočníkovi. V závislosti na typu účtu to může zahrnovat osobní údaje. Pokud je tento útok veden proti poskytovateli e-mailu, útočník by se mohl pokusit vydávat za vás. Pokud je účet cenný, může být také ukraden a můžete být požádáni o výkupné za jeho vrácení.
Jak se chránit před před únosem účtu
Primární ochranou proti této hrozbě je vědět, že existuje.
Pokud jste si založili účet a bylo vám sděleno, že účet již existuje, měli byste se zaregistrovat pomocí jiné e-mailové adresy. Tento útok je nemožný, pokud pro všechny své nejdůležitější účty používáte různé e-mailové adresy.
Tento útok také spoléhá na to, že uživatel nepoužívá Dvoufaktorová autentizace (2FA). Pokud si nastavíte účet a zapnete 2FA, nikdo jiný s přístupem k účtu se nebude moci přihlásit. 2FA se také doporučuje pro ochranu před dalšími online hrozbami jako je phishing a úniky dat.
Před únosem účtu se lze snadno vyhnout
Běžným problémem je krádež účtu. Ale před únosem účtu je nová hrozba a zatím převážně teoretická. Je to možnost při přihlašování k mnoha online službám, ale zatím se nevěří, že je to pravidelný jev.
I když oběti tohoto útoku mohou ztratit přístup k účtu a mohou jim být odcizeny jejich osobní údaje, je také snadné se tomu vyhnout. Pokud si zaregistrujete nový účet a bude vám sděleno, že jej již máte, měli byste použít jinou e-mailovou adresu.
