?譯者 | 陳峻

審校 | 孫淑娟 

帳戶劫持（Account hijacking）通常是一種以竊取個(gè)人信息、冒充受害者、以及實(shí)施勒索為目的的、控制他人帳戶的行為。此類攻擊雖然十分常見(jiàn)，但是攻擊者需要提前獲取受害者的密碼，方可成功實(shí)施。

目前，研究人員發(fā)現(xiàn)了一種被稱為帳戶預(yù)劫持（Pre-Hijacking）的新型攻擊。它不但涉及到利用尚未創(chuàng)建的帳戶，而且允許攻擊者可以在不訪問(wèn)密碼的情況下達(dá)到攻擊的目標(biāo)。下面，讓我們一起來(lái)了解一下什么是帳戶預(yù)劫持，以及如何免受此類劫持的攻擊。

什么是帳戶預(yù)劫持?

帳戶預(yù)劫持是一種新型的網(wǎng)絡(luò)攻擊。攻擊者需要使用其他人的電子郵件地址，在一些常用的流行服務(wù)上創(chuàng)建一個(gè)新的帳戶。而當(dāng)受害者嘗試著使用相同的電子郵件地址去創(chuàng)建帳戶時(shí)，攻擊者就擁有并保留了對(duì)該帳戶的控制權(quán)。在此基礎(chǔ)上，攻擊者便可以訪問(wèn)到受害者所持有的各種機(jī)密信息。而且，他們會(huì)在之后的一段時(shí)間，持續(xù)獨(dú)占對(duì)該帳戶的控制權(quán)。

帳戶預(yù)劫持的工作原理

為了實(shí)現(xiàn)預(yù)劫持，攻擊者首先需要訪問(wèn)一個(gè)電子郵件地址。這些地址往往可以在暗網(wǎng)上輕松地被獲取到。例如，當(dāng)某平臺(tái)發(fā)生數(shù)據(jù)泄露時(shí)，就會(huì)出現(xiàn)大量電子郵件地址被打包、轉(zhuǎn)售并發(fā)布到暗網(wǎng)中。

通過(guò)查找和比對(duì)，攻擊者可以在某個(gè)郵件域名的所有者，新近開(kāi)通或正在使用的流行服務(wù)上，創(chuàng)建一個(gè)新的帳戶。而正是由于許多大型服務(wù)提供商通常會(huì)提供廣泛的服務(wù)棧，因此攻擊者很容易實(shí)現(xiàn)此類攻擊。同時(shí)，攻擊者往往會(huì)批量開(kāi)展此類攻擊，以提高得手的幾率。

后續(xù)，當(dāng)受害者試圖在目標(biāo)服務(wù)上創(chuàng)建一個(gè)相同的帳戶時(shí)，他們就會(huì)被告知該帳戶已經(jīng)存在，并會(huì)被要求重置已有的密碼。而許多受害者會(huì)就此對(duì)自己過(guò)去的行為產(chǎn)生質(zhì)疑，進(jìn)而老老實(shí)實(shí)地重置了所謂“已有”的密碼。

此時(shí)，攻擊者將能夠馬上收到新帳戶密碼的更新通知，并持續(xù)保留對(duì)該賬戶的訪問(wèn)權(quán)限。

帳戶預(yù)劫持的攻擊類型

在了解了帳戶預(yù)劫持的概念和攻擊步驟后，下面我們來(lái)探討一下此類攻擊發(fā)生的具體機(jī)制。通常，我們可能碰到如下五種不同類型的帳戶預(yù)劫持攻擊：

• 經(jīng)典的聯(lián)合歸并（Classic-Federated Merge）攻擊

如今，許多在線服務(wù)平臺(tái)都會(huì)讓您選擇是使用聯(lián)合身份（例如，您的Gmail帳戶）登錄，還是使用您的Gmail地址來(lái)創(chuàng)建新的帳戶。顯然，如果攻擊者已使用您的Gmail地址完成了注冊(cè)，那么您在使用Gmail帳戶登錄時(shí)，就可能訪問(wèn)到同一個(gè)帳戶內(nèi)，進(jìn)而遭受后續(xù)的攻擊。

• 未過(guò)期的會(huì)話身份（Unexpired Session Identifier）攻擊

攻擊者使用受害者的郵件地址，事先創(chuàng)建一個(gè)帳戶，并持續(xù)保持一個(gè)活躍的會(huì)話。而當(dāng)受害者創(chuàng)建一個(gè)帳戶，并重置他們的密碼時(shí)，由于平臺(tái)并未將原先的攻擊者從活躍會(huì)話中注銷，因此攻擊者仍保留對(duì)該帳戶的控制權(quán)。

• 木馬身份（Trojan Identifier）攻擊

攻擊者事先創(chuàng)建了一個(gè)帳戶，并為該帳戶添加了可以被進(jìn)一步恢復(fù)的選項(xiàng)，例如：另一個(gè)電子郵件地址、或是電話號(hào)碼。那么，雖然受害者可以重置該帳戶的密碼，但是攻擊者仍然可以使用帳戶恢復(fù)選項(xiàng)，來(lái)重新獲得控制權(quán)。

• 未過(guò)期的電子郵件更改（Unexpired Email Change）攻擊

攻擊者事先創(chuàng)建一個(gè)帳戶，并啟動(dòng)了電子郵件地址的更改請(qǐng)求。他們當(dāng)然會(huì)收到一個(gè)鏈接，可用來(lái)更改帳戶的電子郵件地址，但他們沒(méi)有完成該過(guò)程。此時(shí)，受害者開(kāi)始重置帳戶的密碼，但此舉并不能使攻擊者之前收到的鏈接失效。據(jù)此，攻擊者仍然可以使用該鏈接來(lái)控制該帳戶，包括重置密碼等行為。

• 無(wú)需驗(yàn)證身份提供方（Non-Verifying Identity Provider）攻擊

攻擊者使用無(wú)需郵件地址身份驗(yàn)證的提供方來(lái)創(chuàng)建帳戶。那么當(dāng)受害者使用相同的電子郵件地址注冊(cè)時(shí)，等于協(xié)助攻擊者完善了該新的帳戶。此后，他們也就使用同一個(gè)帳戶進(jìn)行后續(xù)的訪問(wèn)操作了。

帳戶預(yù)劫持的可能性

正常情況下，如果攻擊者使用您的電子郵件地址去注冊(cè)新的帳戶，那么就會(huì)被要求去驗(yàn)證電子郵件的地址。而在您的電子郵件帳戶未被入侵之前，攻擊者是不可能得逞的。不過(guò)，正如前面所說(shuō)，問(wèn)題就在于，許多服務(wù)提供方會(huì)允許用戶在驗(yàn)證電子郵件之前，以有限的功能去開(kāi)啟和訪問(wèn)帳戶。這就給了攻擊者的可乘之機(jī)，他們能夠在無(wú)需驗(yàn)證的情況下，為后續(xù)攻擊準(zhǔn)備好此類帳戶。

哪些平臺(tái)易受攻擊？

Alexa的研究人員測(cè)試了全球頂流的75個(gè)不同類型的平臺(tái)。他們發(fā)現(xiàn)其中的35個(gè)平臺(tái)普遍存在著此類的潛在漏洞。其中不乏：LinkedIn、Instagram、WordPress、以及Dropbox等一線大平臺(tái)。雖然研究人員通知了所有被發(fā)現(xiàn)存在此類漏洞的公司，但目前他們尚不清楚有哪家已采取了足夠的措施，來(lái)防范此類攻擊。

如果受到攻擊會(huì)怎樣？

如果您受到此類攻擊，攻擊者將可以訪問(wèn)到您帳戶內(nèi)的任何信息，并且可以根據(jù)該帳戶的類型，進(jìn)一步推斷出用戶更多的個(gè)人信息。同時(shí)，如果攻擊者是從電子郵件提供方的角度發(fā)起攻擊，那么他們不但可以冒充您的身份，而且能夠順藤摸瓜地通過(guò)您的帳戶，攫取與之綁定的支付平臺(tái)上的金額。當(dāng)然，他們也可能以被盜金額或帳戶控制權(quán)，來(lái)要挾您支付贖金。

如何防止帳戶預(yù)劫持

針對(duì)此類威脅，我們主要可以通過(guò)如下措施來(lái)予以防范：

• 如果您設(shè)置了一個(gè)帳戶，并被告知該帳戶已經(jīng)存在，那么您就應(yīng)該使用不同的電子郵件地址去完成注冊(cè)。同時(shí)，請(qǐng)為所有重要的帳戶分別使用不同的電子郵件地址，以免將風(fēng)險(xiǎn)集中在一個(gè)籃子里。
• 此類攻擊對(duì)于那些依賴于不使用雙重身份驗(yàn)證(2FA)的用戶來(lái)說(shuō)特別奏效。因此，如果您在設(shè)置帳戶時(shí)打開(kāi)了2FA，則能夠在入門(mén)級(jí)別抵擋住此類攻擊。當(dāng)然，2FA也能夠有效地防范諸如：網(wǎng)絡(luò)釣魚(yú)和數(shù)據(jù)泄露等在線威脅。

小結(jié)

綜上所述，帳戶劫持已是十分常見(jiàn)，而帳戶預(yù)劫持則是一種比較新的威脅。其典型的場(chǎng)景發(fā)生在用戶注冊(cè)了良莠不齊的多種在線服務(wù)時(shí)。當(dāng)然，這也只是停留在理論證明上，目前仍未被認(rèn)定是經(jīng)常發(fā)生的案例?？偟卣f(shuō)來(lái)，我們可以通過(guò)業(yè)界常用的帳戶安全實(shí)踐，來(lái)防范和規(guī)避此類攻擊。

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)；持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知；經(jīng)常以線上、線下等方式，開(kāi)展信息安全類培訓(xùn)與授課。

原文標(biāo)題：??What Is Account Pre-Hijacking and How Does It Work????，作者：ELLIOT NESBO?