Výsledkem analýzy 75 oblíbených online služeb je zjištění, že hackeři mohou napadnout uživatelské účty ještě předtím, než si je samotní uživatelé vytvoří.
U techniky takzvaného "Pre-Hijackingu" jde o ovládnutí skutečných uživatelských účtů. Útočníci ale nečekají na to, až si uživatelé svoje účty fakticky založí. Sami je pro své oběti založí v předstihu a pak číhají v pozadí.
Buď vyčkávají, až si uživatelé online účty skutečně založí, nebo používají triky, jak uživatele přimět k vytvoření nových účtů. Cílem je skutečné účty převzít a ukrást citlivé údaje.
Služby, které jsou zranitelné
Útočníci potřebují k tomuto druhu podvodu pouze platné e-mailové adresy. Ty není obtížné získat, bohatým zdrojem jsou například rozsáhlé úniky dat z minulosti, které se prodávají na různých fórech darknetu. Při kompromitaci e-mailu únikem, což lze zjistit například pomocí služeb Have I Been Pwned nebo Ghost Project, je dobré používané online účty změnit. Mnoho služeb vyžaduje při registraci aktivaci, ale ověřovací maily někdy končí ve spamu.
Často jsou nové účty zaregistrovány i na jiné e-mailové adresy a řádně aktivovány, načež je poštovní adresa oběti jednoduše propojena provedením změny v nastavení. Mnoho služeb požaduje po uživatelích druhou aktivaci. Celkem 35 ze zkoumaných služeb bylo zranitelných některou z uvedených metod útoku. Odborníci popsali pět možných scénářů.
Útočníci se mimo jiné snaží zůstat přihlášeni ke službě prostřednictvím automatických skriptů. Pokud se poté přihlásí skuteční uživatelé a nastaví si nové heslo, aktivní přihlášení často zůstanou zachována. Toho lze zneužít k získání přístupu k uloženým informacím nebo k neoprávněnému převzetí účtů.
Opatření proti metodám Pre-Hijackingu
Účinným prostředkem proti tomuto druhu podvodu je používat dvoufaktorové ověřování. | Zdroj: Ed Hardie/Unsplash
Uživatelé jsou v prvé řadě vyzýváni, aby při vytváření nových účtů zavedli vhodná bezpečnostní opatření. Útokům byly vystaveny například služby Instagram, LinkedIn, Zoom, WordPress a Dropbox, ale mezitím byla u zmíněných služeb provedena vylepšení.
Uživatelům se také vyplatí pravidelně kontrolovat složku nevyžádané pošty. Nejenže tam čas od času můžete narazit na nesprávně zařazené e-maily, ale také aktivační odkazy na služby. To může být příznakem toho, že se připravuje některá z forem ovládnutí účtu.
Při vytváření účtů je dobré nejen vytvářet bezpečná hesla, ale také, pokud je to možné, vždy aktivovat dvoufaktorové ověření. Aplikace jako Authy jsou praktickými pomocníky. Toto opatření by mělo pokusům o neoprávněné ovládnutí účtů zamezit. Některé služby také nabízejí přehled připojených zařízení. Uživatelé se mohou informovat, a také často zrušit k jednotlivým, případně všem zařízením přístup.
Nepříjemný podvod
Když se registrujete k nové službě, mohou už na vás čekat útočníci. Hned na začátku je proto dobré věnovat čas vhodnému zajištění nových účtů. Dvoufaktorové ověřování by mělo být aktivováno všude, kde se nabízí.
Zdroj: Arxiv.org
