Tilin kaappaus tarkoittaa jonkun toisen tilin hallintaa. Se toteutetaan yleensä siinä toivossa, että henkilökohtaisia tietoja varastetaan, esiintyy uhrina tai kiristetään häntä. Tilin kaappaus on yleinen ongelma, mutta se ei ole helppo suorittaa. Menestyäkseen hyökkääjän on ilmeisesti selvitettävä uhrin salasana.
Tutkijat ovat löytäneet uudenlaisen hyökkäyksen, joka tunnetaan nimellä tilin esikaappaus. Se sisältää tilejä, joita ei ole vielä luotu, ja sen avulla hyökkääjät voivat saavuttaa saman tavoitteen ilman salasanaa.
Mitä on tilin esikaappaus ja miten voit suojautua siltä?
Mitä on tilin esikaappaus?
Tilin esikaappaus on uudenlainen kyberhyökkäys. Hyökkääjä luo tilin suosittuun palveluun käyttämällä jonkun toisen sähköpostiosoitetta.
Kun uhri yrittää luoda tilin samalla sähköpostiosoitteella, hyökkääjä säilyttää tilin hallinnan. Kaikki uhrin antamat tiedot ovat sitten hyökkääjän käytettävissä, ja he voivat ottaa tilin yksinomaiseen hallintaansa myöhemmin.
Kuinka tilin esikaappaus toimii?
Esikaappauksen suorittamiseksi hyökkääjä tarvitsee ensin pääsyn sähköpostiosoitteeseen. Nämä ovat laajalti saatavilla pimeässä verkossa. Kun tapahtuu tietomurto, suuret erät sähköpostiosoitteita julkaistaan yleensä tietovedosten muodossa.
Hyökkääjä luo sitten tilin suosittuun palveluun, jota sähköpostiosoitteen omistaja ei ole vielä käyttänyt. Tämä hyökkäys on mahdollinen monille suurille palveluntarjoajille, joten uhrien jonakin vaiheessa haluavan sellaisen tilin ennustaminen ei välttämättä ole vaikeaa.
Tämä kaikki suoritetaan irtotavarana siinä toivossa, että tietty määrä hyökkäyksiä lopulta onnistuu.
Kun uhri yrittää luoda tilin kohdepalveluun, hänelle kerrotaan, että hänellä on jo tili, ja häntä pyydetään vaihtamaan salasana. Monet uhrit nollaavat salasanansa olettaen, että se on virhe.
Hyökkääjä saa ilmoituksen uudesta tilistä, ja hän saattaa säilyttää pääsyn siihen.
Erityinen mekanismi, jolla tämä hyökkäys tapahtuu, vaihtelee, mutta on olemassa viisi erilaista tyyppiä.
Classic-Federated Merge Attack
Monet verkkoympäristöt antavat sinulle mahdollisuuden kirjautua sisään käyttämällä yhdistettyä identiteettiä, kuten Gmail-tiliä, tai luoda uuden tilin Gmail-osoitteellasi. Jos hyökkääjä kirjautuu sisään käyttämällä Gmail-osoitettasi ja sinä kirjaudut sisään Gmail-tililläsi, on mahdollista, että teillä molemmilla on pääsy samaan tiliin.
Vanhentumaton istuntotunnisteen hyökkäys
Hyökkääjä luo tilin käyttämällä uhrin sähköpostiosoitetta ja pitää aktiivista istuntoa. Kun uhri luo tilin ja nollaa salasanansa, hyökkääjä säilyttää tilin hallinnan, koska alusta ei kirjannut häntä ulos aktiivisesta istunnosta.
Troijalaisen tunnisteen hyökkäys
Hyökkääjä luo tilin ja lisää tilin palautusvaihtoehdon. Tämä voi olla toinen sähköpostiosoite tai puhelinnumero. Uhri voi nollata tilin salasanan, mutta hyökkääjä voi silti käyttää tilin palautusvaihtoehtoa ottaakseen sen hallintaansa.
Vanhentumaton sähköpostimuutoshyökkäys
Hyökkääjä luo tilin ja aloittaa sähköpostiosoitteen muutoksen. He saavat linkin tilin sähköpostiosoitteen vaihtamiseen, mutta he eivät suorita prosessia loppuun. Uhri voi nollata tilin salasanan, mutta tämä ei välttämättä poista hyökkääjän saamaa linkkiä käytöstä. Hyökkääjä voi sitten ottaa tilin hallintaansa linkin avulla.
Ei-varmentamattoman henkilöllisyyden tarjoajan hyökkäys
Hyökkääjä luo tilin käyttämällä identiteetin tarjoajaa, joka ei vahvista sähköpostiosoitteita. Kun uhri rekisteröityy samalla sähköpostiosoitteella, on mahdollista, että he molemmat pääsevät käyttämään samaa tiliä.
Kuinka tilin esikaappaus on mahdollista?
Jos hyökkääjä rekisteröi tilin sähköpostiosoitteellasi, häntä pyydetään yleensä vahvistamaan sähköpostiosoite. Olettaen, että he eivät ole hakkeroidneet sähköpostitiliäsi, tämä ei ole mahdollista.
Ongelmana on, että monet palveluntarjoajat antavat käyttäjien pitää tilin auki rajoitetuilla toiminnoilla ennen kuin sähköposti on vahvistettu. Näin hyökkääjät voivat valmistella tilin tätä hyökkäystä varten ilman vahvistusta.
Mitkä alustat ovat haavoittuvia?
Tutkijat testasivat Alexan mukaan 75 eri alustaa 150 parhaan joukosta. He havaitsivat, että 35 näistä alustoista oli mahdollisesti haavoittuvia. Tämä sisältää suuret nimet, kuten LinkedIn, Instagram, WordPress ja Dropbox.
Tutkijat ilmoittivat kaikille haavoittuviksi havaituille yrityksille. Mutta ei tiedetä, onko näiden hyökkäysten estämiseksi toteutettu riittävästi toimia.
Mitä uhrille tapahtuu?
Jos hyökkäät tähän hyökkäykseen, kaikki antamasi tiedot ovat hyökkääjän käytettävissä. Tilin tyypistä riippuen tämä voi sisältää henkilökohtaisia tietoja. Jos tämä hyökkäys suoritetaan sähköpostipalveluntarjoajaa vastaan, hyökkääjä voi yrittää esiintyä sinuna. Jos tili on arvokas, se voidaan myös varastaa ja sen palauttamisesta voidaan pyytää lunnaita.
Kuinka suojautua tilin esikaappaukselta
Ensisijainen suoja tätä uhkaa vastaan on tietää sen olemassaolosta.
Jos luot tilin ja sinulle kerrotaan, että tili on jo olemassa, sinun tulee rekisteröityä toisella sähköpostiosoitteella. Tämä hyökkäys on mahdoton, jos käytät eri sähköpostiosoitteita kaikille tärkeimmille tileillesi.
Tämä hyökkäys perustuu myös siihen, että käyttäjä ei käytä Kaksitekijäinen todennus (2FA). Jos luot tilin ja otat 2FA: n käyttöön, kukaan muu, jolla on pääsy tilille, ei voi kirjautua sisään. 2FA: ta suositellaan myös suojaamaan muita online-uhkia vastaan kuten tietojenkalastelu ja tietomurrot.
Tilin esikaappaus on helppo välttää
Tilin kaappaus on yleinen ongelma. Mutta tilin esikaappaus on uusi uhka ja toistaiseksi suurelta osin teoreettinen. Se on mahdollista moniin verkkopalveluihin kirjautuessasi, mutta sen ei uskota vielä olevan säännöllistä.
Vaikka tämän hyökkäyksen uhrit voivat menettää tilin käyttöoikeuden ja saada henkilötietonsa varastettua, se on myös helppo välttää. Jos luot uuden tilin ja sinulle kerrotaan, että sinulla on jo sellainen, sinun tulee käyttää toista sähköpostiosoitetta.