اختراق حسابك على الإنترنت سيء بما فيه الكفاية. لكن اختراقه قبل أن يتم إنشاؤه هو أمر أسوأ بشكل لا يصدق.
كشف باحثان أمنيان للتو أن العشرات من الخدمات عبر الإنترنت لم تكن آمنة بما يكفي وسمحت للقراصنة بتنفيذ ما يسمى بهجمات "ما قبل الاختراق pre-hijack ". مسلحين بعنوان البريد الإلكتروني للضحية، حيث يقومون بإنشاء حساب على الإنترنت باسمه.
بعد ذلك، عندما ينشئ الضحية حسابه الأصلي عبر الإنترنت على هذه الخدمة، يمكن للقراصنة التحكم فيه واستخدامه في عمليات مختلفة: التجسس، وتعديل المحتوى، وإنشاء محتوى زائف، والمدفوعات الاحتيالية، وما إلى ذلك.
كل هذا ممكن بسبب سلسلة من العيوب التي وجدها الباحثون في عمليات المصادقة واستعادة الحساب.
من بين 75 خدمة عبر الإنترنت تم اختبارها، كانت 35 خدمة معرضة للخطر. من بينها أيضًا أسماء كبيرة مثل LinkedIn أو Instagram أو Dropbox أو Zoom أو Wordpress.com.
فكيف يتم ذلك؟
أولاً، وجد الباحثون أن التحقق من الحساب - البريد الإلكتروني الذي تتلقاه للتحقق من أنك مالك العنوان المعني - غير كافٍ. في بعض الأحيان لا يتم تنفيذه ، وعندما يتم ذلك، من الممكن أحيانًا إجراء تغيير العنوان لاحقًا دون مزيد من التحقق.
بعد ذلك، عندما ينشئ الضحية حسابه، سيتم تحذيره بالطبع من أنه موجود بالفعل. لكن سيعتقد أنه نسي إنشاء هذا الحساب وسينتقل إلى الاسترداد. بعد ذلك، من الممكن حدوث عدة سيناريوهات للهجوم.
1) بفضل برنامج نصي، تمكن المتسلل من إبقاء جلسة الاتصال مفتوحة. وتبقى هذه الجلسة مفتوحة حتى لو أعاد الضحية تعيين كلمة المرور الخاصة به، وهذا لا ينبغي أن يكون كذلك. ( Unexpired Session Attack )
2) يقوم الضحية بإنشاء حسابه من خلال خدمة مصادقة تابعة لجهة خارجية مثل Google أو Apple. إذا تم تكوين النظام الأساسي بشكل خاطئ، فسيقوم بدمج الحسابات دون تعطيل كلمة المرور التي تم إنشاؤها مسبقًا. ( Classic Federated Merge Attack
3) على العكس من ذلك، يمكن للمهاجم إنشاء وصول مباشر من خلال خدمة مصادقة لا تتحقق من ملكية عنوان البريد الإلكتروني للضحية. عندما ينشئ الضحية حسابه بشكل طبيعي ، يظل هذا الوصول صالحًا. (Non Verifying IdP Attack
4) ينشئ المهاجم حسابًا بعنوان البريد الإلكتروني للضحية ويربط حسابًا آخر به من خلال اتحاد الهوية. إذا استرد الضحية حسابه بشكل طبيعي، فإن المخترق يحتفظ بالوصول من خلال هذا الحساب الموازي ( Trojan Identifier Attack )
5) يمكن للمهاجم بدء تغيير عنوان البريد الإلكتروني دون المرور به. عندما تنشئ الضحية حسابها الحقيقي، ينهي المخترق هذا التغيير ويستعيد الوصول إلى الحساب. (Unexpired Email Change Attack).
تم تنبيه جميع مزودي الخدمة المعرضين للخطر البالغ عددهم 35 إلى هذه العيوب وقام معظمهم بتنفيذ التصحيحات. هذا هو الحال بشكل خاص في LinkedIn و Zoom، اللذين كانا عرضة لهجمات 1/4 و 2/3 على التوالي. لكن البعض يعتقد أن الخطر ضئيل أو أنها ليست مسؤوليتهم.
Instagram، على سبيل المثال، عرضة للهجوم رقم 4، لكنه يعتقد أن لديه تنبيهات وضمانات كافية لتجنب هذا السيناريو. في أسوأ الأحوال، هذا خطأ المستخدم.
لاحظ أن الباحثين كانوا قادرين فقط على اختبار مجموعة صغيرة من الخدمات عبر الإنترنت. لذلك لا تزال هناك بالتأكيد منصات أخرى معرضة للخطر. كمستخدم ، تتمثل إحدى طرق حماية نفسك من هذه الهجمات في تنشيط المصادقة القوية. هذا يمنع المتسللين من استخدام الوصول الموازي.