Il dirottamento dell'account è l'atto di prendere il controllo dell'account di qualcun altro. In genere viene eseguito nella speranza di rubare informazioni personali, impersonare la vittima o ricattarla. Il dirottamento dell'account è un problema comune ma non è facile da eseguire. Per avere successo, l'attaccante deve ovviamente scoprire la password della vittima.
I ricercatori hanno scoperto un nuovo tipo di attacco noto come pre-hijacking dell'account. Coinvolge account che non sono ancora stati creati e consente agli aggressori di raggiungere lo stesso obiettivo senza accedere a una password.
Allora, cos'è il pre-hijacking dell'account e come puoi proteggerti da esso?
Che cos'è il pre-dirottamento dell'account?
Il pre-hijacking dell'account è un nuovo tipo di attacco informatico. L'attaccante crea un account su un servizio popolare utilizzando l'indirizzo e-mail di qualcun altro.
Quando la vittima tenta di creare un account utilizzando lo stesso indirizzo e-mail, l'attaccante mantiene il controllo dell'account. Qualsiasi informazione fornita dalla vittima è quindi accessibile all'attaccante e può quindi assumere il controllo esclusivo dell'account in un secondo momento.
Come funziona il pre-dirottamento dell'account?
Per eseguire il pre-hijacking, l'attaccante deve prima accedere a un indirizzo e-mail. Questi sono ampiamente disponibili sul dark web. Quando un si verifica una violazione dei dati, in genere vengono pubblicati grandi batch di indirizzi e-mail come dump di dati.
L'attaccante crea quindi un account su un servizio popolare che il proprietario dell'indirizzo e-mail non ha ancora utilizzato. Questo attacco è possibile su molti grandi fornitori di servizi, quindi prevedere che le vittime a un certo punto vorranno un account del genere non è necessariamente difficile.
Tutto questo viene eseguito in blocco, nella speranza che un certo numero di attacchi alla fine abbia successo.
Quando la vittima tenta di creare un account sul servizio di destinazione, gli verrà detto che ha già un account e gli verrà chiesto di reimpostare la password. Molte vittime ripristineranno la propria password presumendo che si tratti di un errore.
L'autore dell'attacco verrà quindi informato del nuovo account e potrebbe essere in grado di mantenerne l'accesso.
Il meccanismo specifico con cui si verifica questo attacco varia, ma esistono cinque tipi distinti.
Attacco di fusione federato classico
Molte piattaforme online ti danno la possibilità di accedere utilizzando un'identità federata come il tuo account Gmail o creare un nuovo account utilizzando il tuo indirizzo Gmail. Se l'autore dell'attacco si registra utilizzando il tuo indirizzo Gmail e tu accedi utilizzando il tuo account Gmail, è possibile che entrambi avrete accesso allo stesso account.
Attacco all'identificatore di sessione non scaduto
L'attaccante crea un account utilizzando l'indirizzo e-mail della vittima e mantiene una sessione attiva. Quando la vittima crea un account e reimposta la password, l'attaccante mantiene il controllo dell'account perché la piattaforma non l'ha disconnessa dalla sessione attiva.
Attacco all'identificatore di trojan
L'attaccante crea un account e aggiunge un'ulteriore opzione di recupero dell'account. Potrebbe trattarsi di un altro indirizzo e-mail o di un numero di telefono. La vittima può reimpostare la password dell'account, ma l'attaccante può comunque utilizzare l'opzione di recupero dell'account per assumerne il controllo.
Attacco di modifica dell'e-mail non scaduto
L'attaccante crea un account e avvia una modifica dell'indirizzo e-mail. Ricevono un collegamento per modificare l'indirizzo e-mail dell'account, ma non completano il processo. La vittima può reimpostare la password dell'account ma ciò non disattiva necessariamente il collegamento ricevuto dall'attaccante. L'attaccante può quindi utilizzare il collegamento per assumere il controllo dell'account.
Attacco al provider di identità non verificante
L'autore dell'attacco crea un account utilizzando un provider di identità che non verifica gli indirizzi e-mail. Quando la vittima si registra utilizzando lo stesso indirizzo email, è possibile che entrambe abbiano accesso allo stesso account.
Come è possibile il pre-dirottamento dell'account?
Se un utente malintenzionato si registra per un account utilizzando il tuo indirizzo e-mail, di solito gli verrà chiesto di verificare l'indirizzo e-mail. Supponendo che non abbiano violato il tuo account di posta elettronica, ciò non sarà possibile.
Il problema è che molti fornitori di servizi consentono agli utenti di mantenere l'account aperto con funzionalità limitate prima che l'e-mail venga verificata. Ciò consente agli aggressori di preparare un account per questo attacco senza verifica.
Quali piattaforme sono vulnerabili?
I ricercatori hanno testato 75 piattaforme diverse tra le prime 150 secondo Alexa. Hanno scoperto che 35 di queste piattaforme erano potenzialmente vulnerabili. Ciò include grandi nomi come LinkedIn, Instagram, WordPress e Dropbox.
Tutte le aziende scoperte per essere vulnerabili sono state informate dai ricercatori. Ma non è noto se sia stata intrapresa un'azione sufficiente per prevenire questi attacchi.
Cosa succede alla vittima?
Se cadi in questo attacco, tutte le informazioni che fornisci saranno accessibili all'attaccante. A seconda del tipo di account, questo può includere informazioni personali. Se questo attacco viene effettuato contro un provider di posta elettronica, l'attaccante potrebbe tentare di impersonare l'utente. Se l'account è prezioso, potrebbe anche essere rubato e ti potrebbe essere chiesto un riscatto per la sua restituzione.
Come proteggersi dal pre-dirottamento dell'account
La protezione principale contro questa minaccia è sapere che esiste.
Se hai impostato un account e ti viene detto che esiste già un account, dovresti registrarti con un indirizzo email diverso. Questo attacco è impossibile se utilizzi indirizzi email diversi per tutti i tuoi account più importanti.
Questo attacco si basa anche sul fatto che l'utente non lo utilizzi Autenticazione a due fattori (2FA). Se configuri un account e attivi la 2FA, chiunque altro abbia accesso all'account non sarà in grado di accedere. 2FA è consigliato anche per la protezione contro altre minacce online come il phishing e violazioni dei dati.
Il pre-hijacking dell'account è facile da evitare
Il dirottamento dell'account è un problema comune. Ma il pre-hijacking dell'account è una nuova minaccia e, finora, in gran parte teorica. È una possibilità quando ci si iscrive a molti servizi online, ma non si ritiene ancora che sia un evento regolare.
Sebbene le vittime di questo attacco possano perdere l'accesso all'account e farsi rubare le informazioni personali, è anche facile evitarlo. Se ti registri per un nuovo account e ti viene detto che ne hai già uno, dovresti utilizzare un indirizzo email diverso.
