Menu

Číhat mohou na mnoha službách: hackeři ukradnou váš účet ještě před jeho vytvořením

27.05.2022 12:00 | Jiří Palyza + Přidat komentář
Číhat mohou na mnoha službách: hackeři ukradnou váš účet ještě před jeho vytvořením

Číhat mohou na mnoha službách: hackeři ukradnou váš účet ještě před jeho vytvořením | foto: Maxim Ilyahov/Unsplash

Obecné povědomí mezi uživateli o tom, že je potřeba dávat pozor na existující účty v Dropboxu, Instagramu nebo Zoomu, je už dobré. Hackeři jsou ale nyní ještě o krok dále a svým obětem rezervují účty u oblíbených služeb předem, aby je později mohli špehovat nebo jim ukrást citlivá data.

Výsledkem analýzy 75 oblíbených online služeb je zjištění, že hackeři mohou napadnout uživatelské účty ještě předtím, než si je samotní uživatelé vytvoří.

U techniky takzvaného "Pre-Hijackingu" jde o ovládnutí skutečných uživatelských účtů. Útočníci ale nečekají na to, až si uživatelé svoje účty fakticky založí. Sami je pro své oběti založí v předstihu a pak číhají v pozadí.

Buď vyčkávají, až si uživatelé online účty skutečně založí, nebo používají triky, jak uživatele přimět k vytvoření nových účtů. Cílem je skutečné účty převzít a ukrást citlivé údaje.

Služby, které jsou zranitelné

Útočníci potřebují k tomuto druhu podvodu pouze platné e-mailové adresy. Ty není obtížné získat, bohatým zdrojem jsou například rozsáhlé úniky dat z minulosti, které se prodávají na různých fórech darknetu. Při kompromitaci e-mailu únikem, což lze zjistit například pomocí služeb Have I Been Pwned nebo Ghost Project, je dobré používané online účty změnit. Mnoho služeb vyžaduje při registraci aktivaci, ale ověřovací maily někdy končí ve spamu.

Často jsou nové účty zaregistrovány i na jiné e-mailové adresy a řádně aktivovány, načež je poštovní adresa oběti jednoduše propojena provedením změny v nastavení. Mnoho služeb požaduje po uživatelích druhou aktivaci. Celkem 35 ze zkoumaných služeb bylo zranitelných některou z uvedených metod útoku. Odborníci popsali pět možných scénářů.

Útočníci se mimo jiné snaží zůstat přihlášeni ke službě prostřednictvím automatických skriptů. Pokud se poté přihlásí skuteční uživatelé a nastaví si nové heslo, aktivní přihlášení často zůstanou zachována. Toho lze zneužít k získání přístupu k uloženým informacím nebo k neoprávněnému převzetí účtů.

Opatření proti metodám Pre-Hijackingu

2fa

Účinným prostředkem proti tomuto druhu podvodu je používat dvoufaktorové ověřování. | Zdroj: Ed Hardie/Unsplash

Uživatelé jsou v prvé řadě vyzýváni, aby při vytváření nových účtů zavedli vhodná bezpečnostní opatření. Útokům byly vystaveny například služby Instagram, LinkedIn, Zoom, WordPress a Dropbox, ale mezitím byla u zmíněných služeb provedena vylepšení.

Uživatelům se také vyplatí pravidelně kontrolovat složku nevyžádané pošty. Nejenže tam čas od času můžete narazit na nesprávně zařazené e-maily, ale také aktivační odkazy na služby. To může být příznakem toho, že se připravuje některá z forem ovládnutí účtu.

Při vytváření účtů je dobré nejen vytvářet bezpečná hesla, ale také, pokud je to možné, vždy aktivovat dvoufaktorové ověření. Aplikace jako Authy jsou praktickými pomocníky. Toto opatření by mělo pokusům o neoprávněné ovládnutí účtů zamezit. Některé služby také nabízejí přehled připojených zařízení. Uživatelé se mohou informovat, a také často zrušit k jednotlivým, případně všem zařízením přístup.

Nepříjemný podvod

Když se registrujete k nové službě, mohou už na vás čekat útočníci. Hned na začátku je proto dobré věnovat čas vhodnému zajištění nových účtů. Dvoufaktorové ověřování by mělo být aktivováno všude, kde se nabízí.

Zdroj: Arxiv.org

Komentáře

* Hvězdičkou jsou označeny povinné informace.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda International CZ s. r. o.




Komerční sdělení