Account-Hijacking ist die Übernahme der Kontrolle über das Konto einer anderen Person. Es wird normalerweise in der Hoffnung durchgeführt, persönliche Informationen zu stehlen, sich als das Opfer auszugeben oder es zu erpressen. Kontodiebstahl ist ein häufiges Problem, aber es ist nicht einfach durchzuführen. Um erfolgreich zu sein, muss der Angreifer natürlich das Passwort des Opfers herausfinden.
Forscher haben eine neue Art von Angriff entdeckt, die als Konto-Pre-Hijacking bekannt ist. Es betrifft Konten, die noch nicht erstellt wurden, und ermöglicht es Angreifern, das gleiche Ziel ohne Zugriff auf ein Passwort zu erreichen.
Was ist Konto-Pre-Hijacking und wie können Sie sich davor schützen?
Was ist Konto-Pre-Hijacking?
Account Pre-Hijacking ist eine neue Art von Cyberangriff. Der Angreifer erstellt mit der E-Mail-Adresse einer anderen Person ein Konto bei einem beliebten Dienst.
Wenn das Opfer versucht, ein Konto mit derselben E-Mail-Adresse zu erstellen, behält der Angreifer die Kontrolle über das Konto. Alle vom Opfer bereitgestellten Informationen sind dann für den Angreifer zugänglich, und er kann dann zu einem späteren Zeitpunkt die alleinige Kontrolle über das Konto übernehmen.
Wie funktioniert Konto-Pre-Hijacking?
Um Pre-Hijacking durchführen zu können, benötigt der Angreifer zunächst Zugriff auf eine E-Mail-Adresse. Diese sind im Dark Web weit verbreitet. Wenn ein Datenverletzung auftrittwerden große Stapel von E-Mail-Adressen normalerweise als Datendumps veröffentlicht.
Der Angreifer erstellt dann ein Konto bei einem beliebten Dienst, den der Besitzer der E-Mail-Adresse noch nicht verwendet hat. Dieser Angriff ist bei vielen großen Dienstanbietern möglich, daher ist es nicht unbedingt schwierig vorherzusagen, dass die Opfer irgendwann ein solches Konto haben wollen.
Dies alles wird in großen Mengen durchgeführt, in der Hoffnung, dass eine bestimmte Anzahl von Angriffen schließlich erfolgreich sein wird.
Wenn das Opfer versucht, ein Konto bei dem Zieldienst zu erstellen, wird ihm mitgeteilt, dass es bereits ein Konto hat, und es wird aufgefordert, sein Passwort zurückzusetzen. Viele Opfer werden ihr Passwort zurücksetzen, weil sie davon ausgehen, dass es sich um einen Fehler handelt.
Der Angreifer wird dann über das neue Konto benachrichtigt und kann möglicherweise den Zugriff darauf behalten.
Der spezifische Mechanismus, durch den dieser Angriff erfolgt, variiert, aber es gibt fünf verschiedene Typen.
Classic-Federated Merge Attack
Viele Online-Plattformen bieten Ihnen die Möglichkeit, sich mit einer Verbundidentität wie Ihrem Gmail-Konto anzumelden oder ein neues Konto mit Ihrer Gmail-Adresse zu erstellen. Wenn sich der Angreifer mit Ihrer Gmail-Adresse anmeldet und Sie sich mit Ihrem Gmail-Konto anmelden, haben Sie möglicherweise beide Zugriff auf dasselbe Konto.
Angriff auf nicht abgelaufene Sitzungskennung
Der Angreifer erstellt ein Konto mit der E-Mail-Adresse des Opfers und behält eine aktive Sitzung bei. Wenn das Opfer ein Konto erstellt und sein Passwort zurücksetzt, behält der Angreifer die Kontrolle über das Konto, da die Plattform es nicht von seiner aktiven Sitzung abgemeldet hat.
Trojaner-ID-Angriff
Der Angreifer erstellt ein Konto und fügt eine weitere Kontowiederherstellungsoption hinzu. Dies kann eine andere E-Mail-Adresse oder eine Telefonnummer sein. Das Opfer kann das Kennwort des Kontos zurücksetzen, aber der Angreifer kann immer noch die Kontowiederherstellungsoption verwenden, um die Kontrolle darüber zu übernehmen.
Angriff auf nicht abgelaufene E-Mail-Änderungen
Der Angreifer erstellt ein Konto und leitet eine Änderung der E-Mail-Adresse ein. Sie erhalten einen Link zum Ändern der E-Mail-Adresse des Kontos, schließen den Vorgang jedoch nicht ab. Das Opfer kann das Passwort des Kontos zurücksetzen, aber dies deaktiviert nicht unbedingt den Link, den der Angreifer erhalten hat. Der Angreifer kann dann den Link verwenden, um die Kontrolle über das Konto zu übernehmen.
Angriff auf nicht verifizierenden Identitätsanbieter
Der Angreifer erstellt ein Konto mit einem Identitätsanbieter, der keine E-Mail-Adressen überprüft. Wenn sich das Opfer mit derselben E-Mail-Adresse anmeldet, ist es möglich, dass beide Zugriff auf dasselbe Konto haben.
Wie ist ein Konto-Pre-Hijacking möglich?
Wenn sich ein Angreifer mit Ihrer E-Mail-Adresse für ein Konto anmeldet, wird er normalerweise aufgefordert, die E-Mail-Adresse zu bestätigen. Vorausgesetzt, sie haben Ihr E-Mail-Konto nicht gehackt, ist dies nicht möglich.
Das Problem ist, dass viele Dienstanbieter Benutzern erlauben, das Konto mit eingeschränkter Funktionalität offen zu halten, bevor diese E-Mail verifiziert wird. Dadurch können Angreifer ohne Überprüfung ein Konto für diesen Angriff erstellen.
Welche Plattformen sind anfällig?
Forscher getestet 75 verschiedene Plattformen aus den Top 150 laut Alexa. Sie fanden heraus, dass 35 dieser Plattformen potenziell anfällig waren. Dazu gehören große Namen wie LinkedIn, Instagram, WordPress und Dropbox.
Alle als anfällig erkannten Unternehmen wurden von den Forschern informiert. Es ist jedoch nicht bekannt, ob ausreichende Maßnahmen ergriffen wurden, um diese Angriffe zu verhindern.
Was passiert mit dem Opfer?
Wenn Sie auf diesen Angriff hereinfallen, sind alle von Ihnen bereitgestellten Informationen für den Angreifer zugänglich. Je nach Art des Kontos können dies personenbezogene Daten sein. Wenn dieser Angriff gegen einen E-Mail-Anbieter ausgeführt wird, könnte der Angreifer versuchen, sich als Sie auszugeben. Wenn das Konto wertvoll ist, könnte es auch gestohlen werden, und Sie könnten ein Lösegeld für seine Rückgabe verlangen.
So schützen Sie sich vor Konto-Pre-Hijacking
Der primäre Schutz gegen diese Bedrohung besteht darin, zu wissen, dass sie existiert.
Wenn Sie ein Konto einrichten und erfahren, dass bereits ein Konto vorhanden ist, sollten Sie sich mit einer anderen E-Mail-Adresse anmelden. Dieser Angriff ist unmöglich, wenn Sie für alle Ihre wichtigsten Konten unterschiedliche E-Mail-Adressen verwenden.
Dieser Angriff beruht auch darauf, dass der Benutzer nicht verwendet Zwei-Faktor-Authentifizierung (2FA). Wenn Sie ein Konto einrichten und 2FA aktivieren, kann sich niemand mit Zugriff auf das Konto anmelden. 2FA wird auch zum Schutz vor anderen Online-Bedrohungen empfohlen wie Phishing und Datenschutzverletzungen.
Account Pre-Hijacking ist leicht zu vermeiden
Account-Hijacking ist ein häufiges Problem. Aber das Pre-Hijacking von Konten ist eine neue Bedrohung und bisher weitgehend theoretisch. Es ist eine Möglichkeit, wenn man sich bei vielen Online-Diensten anmeldet, aber es wird noch nicht angenommen, dass es regelmäßig vorkommt.
Während Opfer dieses Angriffs den Kontozugriff verlieren und ihre persönlichen Daten gestohlen werden können, ist es auch einfach, dies zu vermeiden. Wenn Sie sich für ein neues Konto anmelden und erfahren, dass Sie bereits eines haben, sollten Sie eine andere E-Mail-Adresse verwenden.
