Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno scoperto che gli hacker possono fare l’hijacking di account online di utenti su servizi popolari come Instagram, LinkedIn e Zoom ottenendone l’accesso prima ancora che questi effettuino la registrazione al servizio.
Lo studio pubblicato indaga sul pre-hijacking dell’account, una nuova classe di attacchi che colpisce siti Web e altri servizi online. I ricercatori hanno analizzato 75 servizi popolari e hanno rilevato che almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.
Analogamente ai classici attacchi hijacking dell’account, l’obiettivo dell’attore malevolo è ottenere l’accesso all’account della vittima. Tuttavia, se l’attaccante può creare un account su un servizio di destinazione utilizzando l’indirizzo e-mail della vittima prima che la vittima crei un account, l’attaccante potrebbe quindi utilizzare varie tecniche per mettere l’account in uno stato pre-dirottato. Dopo che la vittima ha recuperato l’accesso e ha iniziato a utilizzare l’account, l’attaccante potrebbe riottenere l’accesso e impossessarsi dell’account.
L’attaccante è poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti nonché anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni come inviare per esempio messaggi e fare acquisti con i metodi di pagamento salvati negli account.
Le tecniche per fare il pre-hijacking sono varie e alcune di esse risultano completamente invisibili. L’unica cosa di cui l’attaccante necessita è l’indirizzo email della vittima: lo utilizza per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma l’attaccante fa affidamento sul fatto che molti non la noteranno o la considereranno spam. L’attaccante dovrà poi solo aspettare che l’utente crei effettivamente un account sulla piattaforma per poter sferrare l’attacco finale.
I ricercatori hanno descritto cinque tipi di attacchi di pre-hijacking e hanno mostrato che un numero significativo di siti Web e servizi online può essere vulnerabile a questi attacchi.
Nell’attacco Classic-Federated Merge l’attaccante crea un account usando la coppia username-password, mentre la vittima usa la stessa email per creare l’account tramite l’opzione single sign-on. Se il servizio unisce i due account, attaccante e vittima accedono allo stesso account. Questa tecnica fa affidamento sul fatto che la vittima usi il single-sign-on e quindi non cambi la password dell’attaccante.
Nel caso dell’attacco Unexpired Session Identifier l’utente non effettua il log out quando resetta la password. L’hacker crea un account e mantiene la sessione attiva con uno script automatizzato ottenendone così l’accesso all’account della vittima.
Con il metodo Trojan Identifier Attack l’attaccante crea un account aggiungendo un “trojan identifier” come per esempio un altro indirizzo email o un numero di telefono e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker usa l’identificatore per accedere all’account (ad esempio resettando la password).
Con la tecnica Unexpired Email Change Attack il cyber criminale crea un account con l’indirizzo email della vittima e successivamente avvia una richiesta di cambio di indirizzo email senza confermarla. Il servizio invia quindi un link di verifica e, dopo che la vittima ha cambiato la password, l’attaccante conferma il cambiamento, prendendo il controllo dell’account.
Nell’attacco Non-Verifying IdP Attack, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account e aspetta che la vittima crei l’account con il metodo classico (username e password). Se il servizio combina i due account, il malintenzionato ottiene l’accesso.
Le vulnerabilità sono state rese note alle varie piattaforme e sono state suggerite una serie di azioni agli utenti per difendersi, come l’attivazione dell’autenticazione a due fattori.
https://www.securityinfo.it/2022/05/24/account-violati-dagli-hacker-gia-prima-della-registrazione/
https://www.punto-informatico.it/attacco-pre-hijacking-accedere-account/