This post is also available in: Português
Pesquisadores de cibersegurança analisaram uma nova classe de ciberataque, onde se pode ganhar acesso a uma conta alvo antes mesmo que ela seja criada pelo usuário.
É normal ficarmos preocupados com a segurança das nossas contas online. Mas ficar preocupado com contas online que ainda não foram criadas é algo bem estranho. Porém, a central de segurança da Microsoft publicou um novo relatório que trata de uma forma crescente de ataque virtual: o sequestro de contas que ainda nem foram criadas pelas vítimas em serviços online.
Segundo o estudo, essa modalidade de golpe está cada vez mais comum e explora redes sociais e outros serviços que permitem a pré-criação de contas com base em poucas informações pessoais, como um endereço de e-mail, e a finalização do cadastro em um momento posterior.
Como resultado, os cibercriminosos podem ganhar acesso a perfis mesmo que a senha escolhida pela vítima seja forte ou que ela tome cuidados básicos com privacidade.
De 75 páginas de serviços online analisados, ao menos 35 estavam vulneráveis a esse tipo de golpe. Dropbox, Instagram, LinkedIn, WordPress e Zoom são algumas das plataformas vulneráveis a esses ataques.
Como funciona o golpe?
Os especialistas da Microsoft chamam o esquema de “pré-sequestro”, já que ele envolve tomar posse de uma conta antes mesmo que ela passe a existir.
Existem várias maneiras de roubar os dados nesse caso, desde aguardar com uma sessão ativa até que o usuário de verdade faça o login, até usar um e-mail já comprometido para “unir” cadastros, dando acesso tanto ao cibercriminoso quanto para a vítima.
As etapas do golpe. Fonte: Microsoft.
Tendo posse da conta, os invasores conseguem trocar a senha e trancar o usuário original fora do perfil, usando a conta para roubo de identidade, golpes bancários e outros tipos de fraudes.
Tipos de ataques pré sequestro
No artigo escrito pelos especialistas, são descritos cinco tipos de ataques de pré-sequestro. Confira abaixo.
- 1. Classic-Federated Merge Attack:
- 2. Ataque de identificador de sessão não expirado:
- 3. Ataque de Identificador de Trojan:
- 4. Ataque de alteração de e-mail não expirado:
- 5. Ataque de IdP sem verificação:
Este ataque é a imagem espelhada do primeiro ataque citado. O invasor aproveita um IdP que não verifica a propriedade de um endereço de e-mail ao criar uma identidade federada.
Usando esse IdP sem verificação, o invasor cria uma conta com o serviço de destino e aguarda até que a vítima crie uma conta usando a rota clássica.
Se o serviço combinar incorretamente essas duas contas com base no endereço de e-mail, o cibercriminoso poderá acessar a conta da vítima.
A causa do problema e mitigação
A real causa das vulnerabilidades de pré-sequestro de conta se da ao fato de o serviço não verificar se o usuário realmente possui o identificador fornecido antes de permitir o uso da conta.
Embora muitos serviços exijam verificação de identificador, eles geralmente o fazem de forma assíncrona, permitindo que o usuário (ou, nesses casos, o invasor) use determinados recursos da conta antes que o identificador seja verificado. Apesar de melhorar a usabilidade, cria uma janela de vulnerabilidade para ataques de pré-sequestro.
Ou seja, o principal motivo é querer simplificar ao máximo o cadastro. Isso pode facilitar a vida do cliente e faz com que as empresas consigam mais usuários. Porém, a segurança acaba sendo comprometida.
Os ataques descritos pelos especialistas poderiam ser mitigados se o serviço enviasse um e-mail de verificação para o endereço de e-mail fornecido pelo usuário e exigisse que a verificação fosse concluída antes de permitir outras ações na conta.
Aos usuários, recomenda-se ativar a autenticação multi-fatores e encerrar todas as sessões ativas.
Fonte: Microsoft.
This post is also available in: Português
O que é a ISO 22301?
Postagem anteriorO que é Security Awareness?
Próxima postagem
Explora uma potencial fraqueza na interação entre as rotas clássicas e federadas para a criação de contas. O cibercriminoso usa o endereço de e-mail da vítima para criar uma conta pela rota clássica (fornecer um nome de usuário e senha) e, posteriormente, a vítima cria uma conta pela rota federada (usando um provedor de identidade ( IdP), por exemplo , entre com o Microsoft), usando o mesmo endereço de e-mail.
Se o serviço mesclar essas duas contas de forma insegura, isso poderá fazer com que a vítima e o invasor tenham acesso à mesma conta.
Explora uma vulnerabilidade na qual usuários autenticados não são desconectados de uma conta quando o usuário redefine a senha. O invasor cria uma conta usando o endereço de e-mail da vítima e, em seguida, mantém uma sessão ativa de longa duração. Quando a vítima recupera a conta, o invasor ainda pode ter acesso se a redefinição de senha não invalidar a sessão do invasor.
Explora a possibilidade de o invasor vincular um identificador adicional a uma conta criada usando a rota clássica de nome de usuário e senha.
O cibercriminoso cria uma conta usando o endereço de e-mail da vítima e, em seguida, adiciona um identificador de trojan (por exemplo, a identidade federada do invasor ou outro endereço de e-mail ou número de telefone controlado pelo invasor) à conta.
Quando a vítima redefine a senha, o invasor pode usar o identificador do trojan para obter acesso à conta (redefinindo a senha ou solicitando um link de login único).
Explora uma vulnerabilidade potencial em que o serviço falha ao invalidar URLs de capacidade de alteração de e-mail quando o usuário redefine sua senha.
O cibercriminoso cria uma conta usando o endereço de e-mail da vítima e inicia o processo de alteração do endereço de e-mail da conta para ser o próprio endereço de e-mail do invasor.
Como parte desse processo, o serviço normalmente envia um URL de verificação para o endereço de e-mail do invasor, mas o cibercriminoso ainda não confirma a alteração.
Depois que a vítima recupera a conta e começa a usá-la, o cibercriminoso conclui o processo de alteração de e-mail para assumir o controle da conta.