Geral 4min de Leitura - 30 de maio de 2022

Cibercriminosos sequestram contas que ainda nem foram criadas

sequestro de dados contas novas

This post is also available in: Português

Pesquisadores de cibersegurança analisaram uma nova classe de ciberataque, onde se pode ganhar acesso a uma conta alvo antes mesmo que ela seja criada pelo usuário.

É normal ficarmos preocupados com a segurança das nossas contas online. Mas ficar preocupado com contas online que ainda não foram criadas é algo bem estranho. Porém, a central de segurança da Microsoft publicou um novo relatório que trata de uma forma crescente de ataque virtual: o sequestro de contas que ainda nem foram criadas pelas vítimas em serviços online.

Segundo o estudo, essa modalidade de golpe está cada vez mais comum e explora redes sociais e outros serviços que permitem a pré-criação de contas com base em poucas informações pessoais, como um endereço de e-mail, e a finalização do cadastro em um momento posterior.

Como resultado, os cibercriminosos podem ganhar acesso a perfis mesmo que a senha escolhida pela vítima seja forte ou que ela tome cuidados básicos com privacidade.

De 75 páginas de serviços online analisados, ao menos 35 estavam vulneráveis a esse tipo de golpe. Dropbox, Instagram, LinkedIn, WordPress e Zoom são algumas das plataformas vulneráveis a esses ataques.

Como funciona o golpe?

Os especialistas da Microsoft chamam o esquema de “pré-sequestro”, já que ele envolve tomar posse de uma conta antes mesmo que ela passe a existir.

Existem várias maneiras de roubar os dados nesse caso, desde aguardar com uma sessão ativa até que o usuário de verdade faça o login, até usar um e-mail já comprometido para “unir” cadastros, dando acesso tanto ao cibercriminoso quanto para a vítima.

etapas de um golpe
As etapas do golpe. Fonte: Microsoft.

Tendo posse da conta, os invasores conseguem trocar a senha e trancar o usuário original fora do perfil, usando a conta para roubo de identidade, golpes bancários e outros tipos de fraudes.

Tipos de ataques pré sequestro

No artigo escrito pelos especialistas, são descritos cinco tipos de ataques de pré-sequestro. Confira abaixo.

  • 1. Classic-Federated Merge Attack:
    • Explora uma potencial fraqueza na interação entre as rotas clássicas e federadas para a criação de contas. O cibercriminoso usa o endereço de e-mail da vítima para criar uma conta pela rota clássica (fornecer um nome de usuário e senha) e, posteriormente, a vítima cria uma conta pela rota federada (usando um provedor de identidade ( IdP), por exemplo , entre com o Microsoft), usando o mesmo endereço de e-mail.

      Se o serviço mesclar essas duas contas de forma insegura, isso poderá fazer com que a vítima e o invasor tenham acesso à mesma conta.

      • 2. Ataque de identificador de sessão não expirado:

      Explora uma vulnerabilidade na qual usuários autenticados não são desconectados de uma conta quando o usuário redefine a senha. O invasor cria uma conta usando o endereço de e-mail da vítima e, em seguida, mantém uma sessão ativa de longa duração. Quando a vítima recupera a conta, o invasor ainda pode ter acesso se a redefinição de senha não invalidar a sessão do invasor.

      • 3. Ataque de Identificador de Trojan:

      Explora a possibilidade de o invasor vincular um identificador adicional a uma conta criada usando a rota clássica de nome de usuário e senha.

      O cibercriminoso cria uma conta usando o endereço de e-mail da vítima e, em seguida, adiciona um identificador de trojan (por exemplo, a identidade federada do invasor ou outro endereço de e-mail ou número de telefone controlado pelo invasor) à conta.

      Quando a vítima redefine a senha, o invasor pode usar o identificador do trojan para obter acesso à conta (redefinindo a senha ou solicitando um link de login único).

      • 4. Ataque de alteração de e-mail não expirado:
        • Explora uma vulnerabilidade potencial em que o serviço falha ao invalidar URLs de capacidade de alteração de e-mail quando o usuário redefine sua senha.

          O cibercriminoso cria uma conta usando o endereço de e-mail da vítima e inicia o processo de alteração do endereço de e-mail da conta para ser o próprio endereço de e-mail do invasor.

          Como parte desse processo, o serviço normalmente envia um URL de verificação para o endereço de e-mail do invasor, mas o cibercriminoso ainda não confirma a alteração.

          Depois que a vítima recupera a conta e começa a usá-la, o cibercriminoso conclui o processo de alteração de e-mail para assumir o controle da conta.

          • 5. Ataque de IdP sem verificação:

            Este ataque é a imagem espelhada do primeiro ataque citado. O invasor aproveita um IdP que não verifica a propriedade de um endereço de e-mail ao criar uma identidade federada.

            Usando esse IdP sem verificação, o invasor cria uma conta com o serviço de destino e aguarda até que a vítima crie uma conta usando a rota clássica.

            Se o serviço combinar incorretamente essas duas contas com base no endereço de e-mail, o cibercriminoso poderá acessar a conta da vítima.

            A causa do problema e mitigação

            A real causa das vulnerabilidades de pré-sequestro de conta se da ao fato de o serviço não verificar se o usuário realmente possui o identificador fornecido antes de permitir o uso da conta.

            Embora muitos serviços exijam verificação de identificador, eles geralmente o fazem de forma assíncrona, permitindo que o usuário (ou, nesses casos, o invasor) use determinados recursos da conta antes que o identificador seja verificado. Apesar de melhorar a usabilidade, cria uma janela de vulnerabilidade para ataques de pré-sequestro.

            Ou seja, o principal motivo é querer simplificar ao máximo o cadastro. Isso pode facilitar a vida do cliente e faz com que as empresas consigam mais usuários. Porém, a segurança acaba sendo comprometida.

            Os ataques descritos pelos especialistas poderiam ser mitigados se o serviço enviasse um e-mail de verificação para o endereço de e-mail fornecido pelo usuário e exigisse que a verificação fosse concluída antes de permitir outras ações na conta.

            Aos usuários, recomenda-se ativar a autenticação multi-fatores e encerrar todas as sessões ativas.

            Fonte: Microsoft.

            This post is also available in: Português