盛世嫡妃凤轻小说,好看的课外书

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

一文了解“賬號(hào)預(yù)劫持”（accountpre-hijacking

帳戶劫持（Account hijacking）是控制他人賬戶的行為，目的通常是竊取個(gè)人信息、冒充或勒索受害者。賬戶劫持作為一種常見(jiàn)的攻擊類型，執(zhí)行起來(lái)卻并不容易，為了成功實(shí)施攻擊，攻擊者必須提前弄清楚受害者的密碼。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：主機(jī)域名、雅安服務(wù)器托管、營(yíng)銷(xiāo)軟件、網(wǎng)站建設(shè)、云南網(wǎng)站維護(hù)、網(wǎng)站推廣。

不過(guò)，研究人員已經(jīng)發(fā)現(xiàn)了一種稱為“帳戶預(yù)劫持”（Pre-Hijacking）的新型攻擊。它涉及到利用尚未創(chuàng)建的帳戶，并允許攻擊者在不訪問(wèn)密碼的情況下實(shí)現(xiàn)相同的目標(biāo)。

那么究竟什么是帳戶預(yù)劫持，以及如何免受此類劫持的影響呢？

帳戶預(yù)劫持概念

帳戶預(yù)劫持是一種新型的網(wǎng)絡(luò)攻擊。攻擊者需要使用其他人的電子郵件地址在流行服務(wù)上創(chuàng)建一個(gè)帳戶。

當(dāng)受害者嘗試使用相同的電子郵件地址去創(chuàng)建帳戶時(shí)，攻擊者就擁有并保留了對(duì)該帳戶的控制權(quán)。然后，攻擊者就可以訪問(wèn)受害者提供的任何信息。而且，他們會(huì)在之后的一段時(shí)間，持續(xù)獨(dú)占對(duì)該帳戶的控制權(quán)。

帳戶預(yù)劫持的運(yùn)行方式

為了進(jìn)行預(yù)劫持，攻擊者首先需要訪問(wèn)一個(gè)電子郵件地址。而這些地址信息遍布暗網(wǎng)，例如，當(dāng)發(fā)生數(shù)據(jù)泄露時(shí)，就會(huì)出現(xiàn)大量電子郵件地址被轉(zhuǎn)儲(chǔ)到暗網(wǎng)中。

然后，攻擊者會(huì)在該電子郵件地址所有者尚未使用的流行服務(wù)上創(chuàng)建一個(gè)賬戶。鑒于許多大型服務(wù)提供商通常會(huì)提供廣泛的服務(wù)棧，因此預(yù)測(cè)受害者會(huì)在某個(gè)時(shí)刻注冊(cè)這樣的賬戶并不困難。而且，這些活動(dòng)通常是批量進(jìn)行的，旨在提高成功率。

當(dāng)受害者試圖用電子郵件地址在目標(biāo)服務(wù)上創(chuàng)建一個(gè)帳戶時(shí)，他們就會(huì)被告知該帳戶已存在，并會(huì)被要求重置他們的密碼。而大多數(shù)受害者會(huì)質(zhì)疑自身確實(shí)已經(jīng)注冊(cè)過(guò)賬戶，并按照要求重置他們的密碼。

隨后，攻擊者將會(huì)收到新帳戶密碼的更新通知，并持續(xù)保留對(duì)該賬戶的訪問(wèn)權(quán)限。

這種攻擊發(fā)生的具體機(jī)制各不相同，但主要分為五種不同的類型。

帳戶預(yù)劫持主要類型

(1) 經(jīng)典聯(lián)合歸并（Classic-Federated Merge）攻擊

如今，許多在線平臺(tái)都會(huì)讓您選擇聯(lián)合身份（例如，您的Gmail帳戶）登錄，或使用您的Gmail地址來(lái)創(chuàng)建新帳戶。如此一來(lái)，如果攻擊者使用您的Gmail地址注冊(cè)了賬戶，那么在您使用Gmail帳戶登錄時(shí)，就可能訪問(wèn)到同一個(gè)帳戶內(nèi)，進(jìn)而遭受賬戶預(yù)劫持攻擊。

(2) 未過(guò)期的會(huì)話標(biāo)識(shí)符（Unexpired Session Identifier）攻擊

攻擊者使用受害者的電子郵件地址創(chuàng)建一個(gè)帳戶，并持續(xù)保持一個(gè)活躍的會(huì)話。當(dāng)受害者創(chuàng)建一個(gè)帳戶并重置他們的密碼時(shí)，由于平臺(tái)并未將原先的攻擊者從活躍會(huì)話中注銷(xiāo)，因此攻擊者仍保留對(duì)該帳戶的控制權(quán)。

(3) 木馬標(biāo)識(shí)符（Trojan Identifier）攻擊

攻擊者創(chuàng)建了一個(gè)帳戶并添加進(jìn)一步的賬戶恢復(fù)選項(xiàng)，這可能是另一個(gè)電子郵件地址或電話號(hào)碼。如此一來(lái)，即便受害者可以重置該帳戶的密碼，但攻擊者仍然可以使用帳戶恢復(fù)選項(xiàng)來(lái)控制它。

(4) 未過(guò)期的電子郵件更改（Unexpired Email Change）攻擊

攻擊者創(chuàng)建一個(gè)帳戶并啟動(dòng)電子郵件地址的更改請(qǐng)求。這樣，他們會(huì)收到一個(gè)鏈接，用于更改帳戶的電子郵件地址，但他們并沒(méi)有完成該過(guò)程。受害者可以重置該帳戶的密碼，但這并不一定會(huì)使攻擊者之前收到的鏈接失效。然后，攻擊者仍可使用該鏈接來(lái)控制該帳戶。

(5) 非驗(yàn)證身份提供商（Non-Verifying Identity Provider）攻擊

攻擊者使用無(wú)需郵件地址身份驗(yàn)證的提供商來(lái)創(chuàng)建帳戶。當(dāng)受害者使用相同的電子郵件地址注冊(cè)時(shí)，他們可能都可以訪問(wèn)同一個(gè)帳戶。

帳戶預(yù)劫持的可能性

正常情況下，如果攻擊者使用您的電子郵件地址注冊(cè)新帳戶，通常會(huì)被要求去驗(yàn)證電子郵件的地址。假設(shè)他們沒(méi)有入侵您的電子郵件賬戶，這幾乎是不可能的。

不過(guò)，問(wèn)題就在于，許多服務(wù)提供商會(huì)允許用戶在驗(yàn)證電子郵件之前，以有限的功能開(kāi)啟和訪問(wèn)帳戶。這就為攻擊者提供了可乘之機(jī)，允許他們?cè)跓o(wú)需驗(yàn)證的情況下為此類攻擊準(zhǔn)備好一個(gè)帳戶。

易受攻擊的“重災(zāi)”平臺(tái)

Alexa公司研究人員針對(duì)全球排名前150的75個(gè)不同類型平臺(tái)進(jìn)行了測(cè)試，結(jié)果發(fā)現(xiàn)，其中35個(gè)平臺(tái)存在潛在漏洞。這些平臺(tái)包括LinkedIn、Instagram、WordPress以及Dropbox等知名品牌。

雖然研究人員已經(jīng)通知了所有存在潛在漏洞的公司，但目前尚不清楚他們是否已采取足夠的措施來(lái)防范此類攻擊。

攻擊對(duì)受害者的危害

如果您受到此類攻擊，攻擊者將可以訪問(wèn)到您提供的任何信息。根據(jù)具體的帳戶類型，這可能涉及個(gè)人隱私信息。如果攻擊者針對(duì)電子郵件提供商執(zhí)行此類攻擊，那么他們甚至可能會(huì)試圖冒充您。如果您的賬戶極具價(jià)值，它也可能會(huì)被盜，并要求您支付贖金來(lái)贖回該賬戶。

帳戶預(yù)劫持防御策略

針對(duì)這種威脅的主要保護(hù)措施是明確它的存在。

如果您設(shè)置了一個(gè)帳戶，并被告知該帳戶已經(jīng)存在，那么您應(yīng)該使用不同的電子郵件地址去進(jìn)行注冊(cè)。如果您為所有最重要的帳戶使用不同的電子郵件地址，那么這種攻擊既幾乎是不可能的。

在一定程度上，這種攻擊的成功還得益于用戶不使用雙因素身份驗(yàn)證（2FA）。如果您在設(shè)置帳戶時(shí)啟用雙因素身份驗(yàn)證，那么其他有權(quán)訪問(wèn)該賬戶的人將無(wú)法登錄。當(dāng)然，雙因素身份驗(yàn)證還可用于防范其他在線威脅，例如網(wǎng)絡(luò)釣魚(yú)和數(shù)據(jù)泄露等。

賬戶預(yù)劫持很容易避免

帳戶劫持是一種常見(jiàn)威脅，但帳戶預(yù)劫持卻是一種新型威脅，到目前為止，還主要是理論上的。在注冊(cè)許多在線服務(wù)時(shí)可能會(huì)出現(xiàn)這種情況，但目前還沒(méi)有被認(rèn)定為經(jīng)常發(fā)生的情況。

雖然此類攻擊的受害者可能會(huì)喪失帳戶訪問(wèn)權(quán)限并造成個(gè)人信息泄露，但它同時(shí)也很容易避免。如果您注冊(cè)了一個(gè)新帳戶并被告知賬戶已存在，請(qǐng)記住務(wù)必使用不同的電子郵件地址完成注冊(cè)。同時(shí)，踐行帳戶安全實(shí)踐來(lái)防范和規(guī)避此類攻擊。

本文翻譯自：https://www.makeuseof.com/what-is-account-pre-hijacking/

網(wǎng)站題目：一文了解“賬號(hào)預(yù)劫持”（accountpre-hijacking
當(dāng)前地址：http://fisionsoft.com.cn/article/dpcshjo.html