Kontokapring er handlingen for å ta kontroll over en annens konto. Det utføres vanligvis i håp om å stjele personlig informasjon, utgi seg for å være offeret eller å utpresse dem. Kontokapring er et vanlig problem, men det er ikke lett å utføre. For å lykkes, må angriperen åpenbart finne ut offerets passord.
Forskere har oppdaget en ny type angrep kjent som kontopre-kapring. Det involverer kontoer som ennå ikke er opprettet og lar angripere oppnå samme mål uten tilgang til passord.
Så hva er kontopre-kapring og hvordan kan du beskytte deg mot det?
Hva er kontoforhåndskapring?
Kontoforhåndskapring er en ny type nettangrep. Angriperen oppretter en konto på en populær tjeneste ved å bruke en annens e-postadresse.
Når offeret prøver å opprette en konto med samme e-postadresse, beholder angriperen kontrollen over kontoen. All informasjon gitt av offeret er da tilgjengelig for angriperen, og de kan da ta eksklusiv kontroll over kontoen på et senere tidspunkt.
Hvordan fungerer forhåndskapring av kontoer?
For å kunne utføre pre-hijacking trenger angriperen først tilgang til en e-postadresse. Disse er allment tilgjengelige på det mørke nettet. Når en databrudd oppstår, blir store grupper med e-postadresser vanligvis publisert som datadumper.
Angriperen oppretter deretter en konto på en populær tjeneste som eieren av e-postadressen ennå ikke har brukt. Dette angrepet er mulig på mange store tjenesteleverandører, så det er ikke nødvendigvis vanskelig å forutsi at ofre på et tidspunkt vil ha en slik konto.
Alt dette gjennomføres i bulk, i håp om at et visst antall angrep til slutt skal lykkes.
Når offeret prøver å opprette en konto på den målrettede tjenesten, vil de bli fortalt at de allerede har en konto og vil bli bedt om å tilbakestille passordet. Mange ofre vil tilbakestille passordet sitt forutsatt at det er en feil.
Angriperen vil da bli varslet om den nye kontoen og kan kanskje beholde tilgangen til den.
Den spesifikke mekanismen som dette angrepet skjer med varierer, men det er fem forskjellige typer.
Klassisk-føderert sammenslåingsangrep
Mange nettplattformer gir deg valget mellom å logge på med en forent identitet, for eksempel Gmail-kontoen din, eller opprette en ny konto med Gmail-adressen din. Hvis angriperen registrerer seg med Gmail-adressen din og du logger på med Gmail-kontoen din, er det mulig at dere begge har tilgang til samme konto.
Uutløpt øktidentifikatorangrep
Angriperen oppretter en konto ved hjelp av offerets e-postadresse, og de holder en aktiv økt. Når offeret oppretter en konto og tilbakestiller passordet, beholder angriperen kontrollen over kontoen fordi plattformen ikke logget dem ut av den aktive økten.
Trojan Identifier Attack
Angriperen oppretter en konto og legger til et ytterligere alternativ for kontogjenoppretting. Dette kan være en annen e-postadresse eller et telefonnummer. Offeret kan tilbakestille passordet til kontoen, men angriperen kan fortsatt bruke alternativet for kontogjenoppretting for å ta kontroll over det.
Uutløpt e-postendringsangrep
Angriperen oppretter en konto og setter i gang en endring av e-postadresse. De mottar en lenke for å endre e-postadressen til kontoen, men de fullfører ikke prosessen. Offeret kan tilbakestille passordet til kontoen, men dette deaktiverer ikke nødvendigvis koblingen som angriperen mottok. Angriperen kan deretter bruke lenken til å ta kontroll over kontoen.
Angrep fra ikke-bekreftende identitetsleverandør
Angriperen oppretter en konto ved å bruke en identitetsleverandør som ikke bekrefter e-postadresser. Når offeret registrerer seg med samme e-postadresse, er det mulig at de begge vil ha tilgang til samme konto.
Hvordan er kontoforhåndkapring mulig?
Hvis en angriper registrerer seg for en konto med e-postadressen din, vil de vanligvis bli bedt om å bekrefte e-postadressen. Forutsatt at de ikke har hacket e-postkontoen din, vil dette ikke være mulig.
Problemet er at mange tjenesteleverandører lar brukere holde kontoen åpen med begrenset funksjonalitet før den e-posten er bekreftet. Dette lar angripere forberede en konto for dette angrepet uten bekreftelse.
Hvilke plattformer er sårbare?
Forskere testet 75 forskjellige plattformer av topp 150 ifølge Alexa. De fant at 35 av disse plattformene var potensielt sårbare. Dette inkluderer store navn som LinkedIn, Instagram, WordPress og Dropbox.
Alle selskaper som ble oppdaget å være sårbare ble informert av forskerne. Men det er ikke kjent om tilstrekkelig tiltak er iverksatt for å forhindre disse angrepene.
Hva skjer med offeret?
Hvis du faller for dette angrepet, vil all informasjon du oppgir være tilgjengelig for angriperen. Avhengig av typen konto kan dette inkludere personlig informasjon. Hvis dette angrepet utføres mot en e-postleverandør, kan angriperen forsøke å utgi seg for deg. Hvis kontoen er verdifull, kan den også bli stjålet, og du kan bli bedt om løsepenger for retur.
Slik beskytter du deg mot forhåndskapring av kontoer
Den primære beskyttelsen mot denne trusselen er å vite at den eksisterer.
Hvis du oppretter en konto og får beskjed om at en konto allerede eksisterer, bør du registrere deg med en annen e-postadresse. Dette angrepet er umulig hvis du bruker forskjellige e-postadresser for alle de viktigste kontoene dine.
Dette angrepet er også avhengig av at brukeren ikke bruker Tofaktorautentisering (2FA). Hvis du setter opp en konto og slår på 2FA, vil ikke noen andre med tilgang til kontoen kunne logge på. 2FA anbefales også for å beskytte mot andre trusler på nettet for eksempel phishing og datainnbrudd.
Kontoforhåndskapring er lett å unngå
Kontokapring er et vanlig problem. Men kontoforhåndkapring er en ny trussel og så langt i stor grad teoretisk. Det er en mulighet når du registrerer deg for mange elektroniske tjenester, men det antas ennå ikke å være en vanlig forekomst.
Selv om ofre for dette angrepet kan miste kontotilgang og få personlig informasjon stjålet, er det også lett å unngå. Hvis du registrerer deg for en ny konto og får beskjed om at du allerede har en, bør du bruke en annen e-postadresse.