Essencialmente, os hackers criam contas antecipadamente com os endereços de e-mail das vítimas. Assim, os criminosos devem estar cientes dos endereços de e-mail de seus alvos para explorá-los.
No entanto, contas previamente violadas construíram extensos bancos de dados de tais informações. Assim, o pré-sequestro realiza o controle de contas ao contrário, com hackers corrompendo perfis antes que a vítima crie uma conta.
O que é pré-sequestro?
Os ataques de pré-sequestro de contas representam uma nova categoria de ameaças direcionadas a contas que os usuários ainda não registraram. No passado, a maioria das tentativas de sequestro se concentrava em contas que as pessoas já controlavam. No entanto, o pré-sequestro dá um salto ao comprometer a criação de contas.
Assim, um invasor cria uma conta em nome do usuário sem seu consentimento. Em seguida, o período de espera começa até que a vítima crie ou tente recuperar uma conta no serviço comprometido.
Os perpetradores contam com várias técnicas para manter o acesso às contas. Por exemplo, eles podem esperar que os usuários não recebam ou ignorem as notificações de segurança da conta. Dependendo dos serviços direcionados, o pré-sequestro pode conceder aos hackers acesso a informações confidenciais, como detalhes de cobrança.
De acordo com a pesquisa de Andrew Paverd e Avinash Sudhodanan, muitos serviços de alto tráfego, como Instagram, WordPress ou Dropbox, eram vulneráveis ao pré-sequestro de contas. O estudo se concentrou em 75 provedores de serviços, e pelo menos 35 eram suscetíveis a essa ameaça. O Security Response Center da Microsoft fez a introdução inicial a essa exploração de segurança.
Como funciona o pré-sequestro?
A nova classe de ataques de pré-sequestro de contas segue uma rotina estrita para comprometer os usuários antes mesmo de criar contas. Os pesquisadores de segurança nomeiam três estágios gerais desse ataque:
Fase de pré-sequestro. Os perpetradores criam contas em serviços selecionados usando os identificadores das vítimas (endereços de e-mail ou números de telefone). É crucial que os alvos não tenham criado uma conta usando o identificador explorado. Durante esse estágio, os invasores também precisam prever em qual serviço a vítima ingressará no futuro.
Ação do usuário. Durante esse estágio, os invasores de pré-sequestro esperam que as vítimas criem ou recuperem contas usando os mesmos identificadores. Os hackers podem tentar coagir os alvos a se inscreverem enviando e-mails de phishing com convites para o serviço.
Os usuários podem notar o ataque de pré-sequestro ao tentar criar ou recuperar contas. No entanto, depende se o serviço emite notificações de segurança apropriadas. Se os usuários ignorarem os avisos ou não os receberem, eles poderão começar a operar a conta comprometida.
Ataque adicional. Agora, os invasores podem realizar invasões completas de contas, fazendo com que as vítimas percam o controle delas. No entanto, alguns poderiam adotar medidas mais furtivas para manter o acesso simultâneo às contas. Os pesquisadores descobriram cinco ataques usados nesta fase.
Tipos de ataques de pré-sequestro de conta
A pesquisa de segurança nomeia cinco possíveis ataques de pré-sequestro. Alguns exploram as opções de logon único (SSO), enquanto outros contam com a criação de conta clássica.
Ataque de mesclagem federado clássico
Essa ameaça representa o potencial de hackers e vítimas terem acesso à mesma conta. Inicialmente, um ataque de pré-sequestro cria uma conta seguindo a inscrição tradicional (definindo uma senha exclusiva).
No entanto, as vítimas usam a opção SSO para ingressar em um serviço. O site pode mesclar essas duas contas e não enviar uma carta informando que já existe uma conta. Se as vítimas não alterarem a senha da conta clássica, os invasores poderão manter o acesso ao perfil.
Ataque de sessão não expirada
Esse ataque de pré-sequestro funciona se os serviços não invalidarem todas as sessões ativas após as redefinições de senha. Nesse caso, o usuário tenta se inscrever em um serviço, mas percebe que já possui uma conta.
Então, eles não podem fazer login, pois não sabem a senha que os criminosos definiram. Como resultado, a vítima altera a senha. O problema é que um serviço pode não invalidar sessões ativas depois disso.
Assim, os criminosos podem automatizar a tarefa de manter uma sessão ativa. Por exemplo, scripts podem executar frequentemente uma ação para mantê-lo. No final, os hackers podem manter o acesso à conta mesmo que as vítimas alterem as senhas.
Ataque de identificador de Trojan
Durante esse pré-sequestro de conta, os invasores criam uma conta usando os endereços de e-mail das vítimas. No entanto, eles vinculam essa conta ao próprio SSO. Assim, os criminosos podem manter o acesso via Google ou Facebook mesmo que as vítimas alterem as senhas.
Ataque de alteração de e-mail não expirado
Esse método explora a possibilidade de URLs de alteração de e-mail não expirarem. Assim, os criminosos criam uma conta usando os endereços de e-mail das vítimas. Em seguida, eles iniciam uma alteração de e-mail e recebem uma carta de alteração de e-mail em sua caixa de entrada.
No entanto, eles não concluem o processo, deixando as contas vinculadas aos e-mails das vítimas. Depois que as vítimas redefinem as senhas e usam a conta há algum tempo, os hackers podem finalmente concluir a alteração do e-mail. Como resultado, eles assumem a conta.
Ataque de IdP sem verificação
Nesse ataque de pré-sequestro, os criminosos criam uma conta IdP usando os endereços de e-mail dos alvos. Ele explora a possibilidade de que os serviços confiem no IdP para realizar a verificação de e-mail necessária.
Assim, os hackers podem criar outra conta usando o IdP fraudulento. Quando as vítimas tentam se inscrever, os serviços podem combinar a conta controlada por hackers com a nova.
Quais serviços são suscetíveis a ataques de pré-sequestro?
Os pesquisadores descobriram que serviços como Zoom e LinkedIn eram suscetíveis a um ou mais ataques de pré-sequestro. O potencial de exploração depende de como as empresas lidam com a verificação do identificador. Em muitos casos, os serviços podem dispensar certas práticas de segurança, como confiar no IdP para executar a verificação de e-mail.
Tais suposições e possíveis contratempos podem ser o resultado da redução do atrito do UX. No entanto, a ameaça de pré-sequestro prova que a verificação rigorosa do identificador é necessária.
Por exemplo, os serviços devem enviar todas as notificações de segurança apropriadas ao usuário. Além disso, as empresas devem reconsiderar a fusão de contas criadas via SSO e a criação clássica de senhas. Por fim, os URLs de alteração de e-mail devem ter uma data de expiração relativamente curta para evitar abusos.
Como os usuários podem proteger suas contas futuras de pré-sequestro?
Os provedores de serviços têm a responsabilidade de combater a exploração de segurança pré-sequestro. No entanto, os usuários podem fazer sua parte estando atentos e aproveitando as medidas de proteção disponíveis.
Preste atenção às notificações de segurança. Verifique sua caixa de entrada e preste atenção aos avisos que você recebe. Por exemplo, alguns provedores de serviços enviam alertas automáticos quando as contas são conectadas a partir de novos dispositivos.
Procure por sinais de alerta durante a criação da conta. Você pode descobrir contas em serviços que nunca encontrou antes. Tome isso como um aviso de que os hackers executaram uma conta pré-sequestro nele. Por exemplo, você pode solicitar que o serviço exclua a conta. Mais tarde, você pode criar uma nova conta.
Verifique os dispositivos que você usou para fazer login em suas contas. Se possível, examine as sessões ativas e encerre aquelas que você não reconhece.
Use autenticação de dois fatores. A 2FA pode impedir que invasores usem uma conta depois que as vítimas redefinem as senhas. Além disso, verifique novamente se um serviço invalida as sessões criadas antes de adicionar 2FA.
Acompanhe as contas que você tem. Os gerenciadores de senhas ajudam a ver todas as credenciais da sua conta em um só lugar. Reserve um tempo para adicionar todas as credenciais e você sempre saberá se possui uma conta com um serviço específico. Assim, você reconhecerá rapidamente quando um pré-sequestro pode ter ocorrido.
