如何在网络账户被创建之前将其劫持

来源:岁月联盟 编辑:猪蛋儿 时间:2022-07-04


此类攻击针对的是网站以及网络在线平台中无处不在的账户创建过程,攻击者能够在毫无防备的受害者于目标服务中创建账户之前执行一系列的行为。

此项研究是由个人安全研究员Avinash Sudhodanan与微软安全响应中心(MSRC)的Andrew Paverd 联合展开的。

预劫持攻击的前提条件是攻击者能够提前拥有与受害者相关的唯一标识符,例如电子邮件地址、电话号码,或者其他信息,这些信息一般可以通过抓取受害者的社交媒体账户获取,也可以通过转储那些因大量的数据泄露而在网上传播的凭证来获取。

此类攻击有五种不同的方式,包括与受害者同时使用同一个电子邮件地址来注册账户,这样就有一定的可能性使攻击者与受害者同时拥有访问目标账户的权限。

预劫持的攻击效果与普通劫持攻击的一样。两者都可以使攻击者在受害者不知情的情况下窃取受害者的机密信息,甚至可以利用服务的特性来冒充受害者。

研究人员表示,如果可以在受害者创建账户之前用其电子邮件地址在目标服务上创建一个账户,那么攻击者就可以利用各种技术使账户进入预劫持的状态。当受害者恢复访问权限并开始使用账户时,攻击者就可以重新访问并接管该账户。

预劫持的五种攻击方式如下: