Account violati dagli hacker già prima della registrazione

Mag 24, 2022 Redazione news News, RSS, Vulnerabilità 0

Dei ricercatori hanno scoperto che gli hacker possono fare l’hijacking dell’account online degli utenti su servizi popolari come Instagram, LinkedIn e Zoom prima ancora che questi li registrino

Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno pubblicato uno studio sul pre-hijacking, o dirottamento preventivo, degli account degli utenti su una serie di popolari piattaforme.

Nell’ambito della ricerca sono stati analizzati 75 popolari servizi e almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.

Con questi attacchi, gli hacker possono prendere il controllo dell’account dell’utente prima ancora che questo lo crei. I cyber criminali sono poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti.

Possono anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni, inviando per esempio messaggi e facendo acquisti con i metodi di pagamento salvati negli account. Ci sono diverse tecniche per fare il pre-hijacking e alcune di esse risultano completamente invisibili.

L’unica cosa di cui i pirati hanno bisogno è l’indirizzo email della vittima. Lo usano poi per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma i cyber criminali fanno affidamento sul fatto che molti non la noteranno o la considereranno spam.

A questo punto gli hacker devono solo aspettare che l’utente effettivamente crei un account sulla piattaforma per poter sferrare l’attacco finale. Come anticipato, ci sono diverse tecniche.

Le cinque identificate dallo studio sono state definite come classic-federated merge (CFM), unexpired session (US) ID, trojan identifier (TID), unexpired email change (UEC) e non-verifying Identity provider (IdP) attack (NV).

Nel caso del CFM, che si può tradurre con “fusione dell’autenticazione classica e federata”, la piattaforma unisce il nuovo account a quello precedentemente creato dai pirati, a volte senza nemmeno notificare l’utente. Questo metodo fa affidamento sul fatto che la vittima usi il single-sign-on (SSO) e quindi non cambi la password del pirata.

Nell’attacco US, ossia sessione non scaduta, il pirata, dopo aver creato l’account, mantiene una sessione attiva con uno script automatizzato. Quando la vittima crea un account e resetta la password, la sessione attiva può non essere invalidata, lascando all’hacker l’accesso all’account.

Con il metodo TID, o dell’identificatore trojan, il pirata crea un account con l’email della vittima e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker può ancora collegarsi con il login federato.

Con la tecnica UEC, ossia cambio inaspettato dell’email, il cyber criminale crea un account con l’email della vittima e poi sottopone una richiesta di cambio di email senza confermarla. Dopo che la vittima ha cambiato la password, il pirata conferma il cambiamento, prendendo controllo dell’account.

Nell’attacco NV, o di non-verifica del provider dell’identità, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account. Questo crea la possibilità di sfruttare in modo malevolo servizi di login basati sul cloud come Okta e Onelogin.

Le vulnerabilità sono state rese note alle varie piattaforme e nel frattempo gli utenti, per difendersi, possono attivare l’autenticazione a due fattori. Il blog del Security Response Center di Microsoft ha inoltre pubblicato un post di approfondimento sul tema.

Condividi l'articolo