?譯者 | 陳峻

審校 | 孫淑娟 

帳戶劫持（Account hijacking）通常是一種以竊取個人信息、冒充受害者、以及實施勒索為目的的、控制他人帳戶的行為。此類攻擊雖然十分常見，但是攻擊者需要提前獲取受害者的密碼，方可成功實施。

目前，研究人員發現了一種被稱為帳戶預劫持（Pre-Hijacking）的新型攻擊。它不但涉及到利用尚未創建的帳戶，而且允許攻擊者可以在不訪問密碼的情況下達到攻擊的目標。下面，讓我們一起來了解一下什么是帳戶預劫持，以及如何免受此類劫持的攻擊。

什么是帳戶預劫持?

帳戶預劫持是一種新型的網絡攻擊。攻擊者需要使用其他人的電子郵件地址，在一些常用的流行服務上創建一個新的帳戶。而當受害者嘗試著使用相同的電子郵件地址去創建帳戶時，攻擊者就擁有并保留了對該帳戶的控制權。在此基礎上，攻擊者便可以訪問到受害者所持有的各種機密信息。而且，他們會在之后的一段時間，持續獨占對該帳戶的控制權。

帳戶預劫持的工作原理

為了實現預劫持，攻擊者首先需要訪問一個電子郵件地址。這些地址往往可以在暗網上輕松地被獲取到。例如，當某平臺發生數據泄露時，就會出現大量電子郵件地址被打包、轉售并發布到暗網中。

通過查找和比對，攻擊者可以在某個郵件域名的所有者，新近開通或正在使用的流行服務上，創建一個新的帳戶。而正是由于許多大型服務提供商通常會提供廣泛的服務棧，因此攻擊者很容易實現此類攻擊。同時，攻擊者往往會批量開展此類攻擊，以提高得手的幾率。

后續，當受害者試圖在目標服務上創建一個相同的帳戶時，他們就會被告知該帳戶已經存在，并會被要求重置已有的密碼。而許多受害者會就此對自己過去的行為產生質疑，進而老老實實地重置了所謂“已有”的密碼。

此時，攻擊者將能夠馬上收到新帳戶密碼的更新通知，并持續保留對該賬戶的訪問權限。

帳戶預劫持的攻擊類型

在了解了帳戶預劫持的概念和攻擊步驟后，下面我們來探討一下此類攻擊發生的具體機制。通常，我們可能碰到如下五種不同類型的帳戶預劫持攻擊：

• 經典的聯合歸并（Classic-Federated Merge）攻擊

如今，許多在線服務平臺都會讓您選擇是使用聯合身份（例如，您的Gmail帳戶）登錄，還是使用您的Gmail地址來創建新的帳戶。顯然，如果攻擊者已使用您的Gmail地址完成了注冊，那么您在使用Gmail帳戶登錄時，就可能訪問到同一個帳戶內，進而遭受后續的攻擊。

• 未過期的會話身份（Unexpired Session Identifier）攻擊

攻擊者使用受害者的郵件地址，事先創建一個帳戶，并持續保持一個活躍的會話。而當受害者創建一個帳戶，并重置他們的密碼時，由于平臺并未將原先的攻擊者從活躍會話中注銷，因此攻擊者仍保留對該帳戶的控制權。

• 木馬身份（Trojan Identifier）攻擊

攻擊者事先創建了一個帳戶，并為該帳戶添加了可以被進一步恢復的選項，例如：另一個電子郵件地址、或是電話號碼。那么，雖然受害者可以重置該帳戶的密碼，但是攻擊者仍然可以使用帳戶恢復選項，來重新獲得控制權。

• 未過期的電子郵件更改（Unexpired Email Change）攻擊

攻擊者事先創建一個帳戶，并啟動了電子郵件地址的更改請求。他們當然會收到一個鏈接，可用來更改帳戶的電子郵件地址，但他們沒有完成該過程。此時，受害者開始重置帳戶的密碼，但此舉并不能使攻擊者之前收到的鏈接失效。據此，攻擊者仍然可以使用該鏈接來控制該帳戶，包括重置密碼等行為。

• 無需驗證身份提供方（Non-Verifying Identity Provider）攻擊

攻擊者使用無需郵件地址身份驗證的提供方來創建帳戶。那么當受害者使用相同的電子郵件地址注冊時，等于協助攻擊者完善了該新的帳戶。此后，他們也就使用同一個帳戶進行后續的訪問操作了。

帳戶預劫持的可能性

正常情況下，如果攻擊者使用您的電子郵件地址去注冊新的帳戶，那么就會被要求去驗證電子郵件的地址。而在您的電子郵件帳戶未被入侵之前，攻擊者是不可能得逞的。不過，正如前面所說，問題就在于，許多服務提供方會允許用戶在驗證電子郵件之前，以有限的功能去開啟和訪問帳戶。這就給了攻擊者的可乘之機，他們能夠在無需驗證的情況下，為后續攻擊準備好此類帳戶。

哪些平臺易受攻擊？

Alexa的研究人員測試了全球頂流的75個不同類型的平臺。他們發現其中的35個平臺普遍存在著此類的潛在漏洞。其中不乏：LinkedIn、Instagram、WordPress、以及Dropbox等一線大平臺。雖然研究人員通知了所有被發現存在此類漏洞的公司，但目前他們尚不清楚有哪家已采取了足夠的措施，來防范此類攻擊。

如果受到攻擊會怎樣？

如果您受到此類攻擊，攻擊者將可以訪問到您帳戶內的任何信息，并且可以根據該帳戶的類型，進一步推斷出用戶更多的個人信息。同時，如果攻擊者是從電子郵件提供方的角度發起攻擊，那么他們不但可以冒充您的身份，而且能夠順藤摸瓜地通過您的帳戶，攫取與之綁定的支付平臺上的金額。當然，他們也可能以被盜金額或帳戶控制權，來要挾您支付贖金。

如何防止帳戶預劫持

針對此類威脅，我們主要可以通過如下措施來予以防范：

• 如果您設置了一個帳戶，并被告知該帳戶已經存在，那么您就應該使用不同的電子郵件地址去完成注冊。同時，請為所有重要的帳戶分別使用不同的電子郵件地址，以免將風險集中在一個籃子里。
• 此類攻擊對于那些依賴于不使用雙重身份驗證(2FA)的用戶來說特別奏效。因此，如果您在設置帳戶時打開了2FA，則能夠在入門級別抵擋住此類攻擊。當然，2FA也能夠有效地防范諸如：網絡釣魚和數據泄露等在線威脅。

小結

綜上所述，帳戶劫持已是十分常見，而帳戶預劫持則是一種比較新的威脅。其典型的場景發生在用戶注冊了良莠不齊的多種在線服務時。當然，這也只是停留在理論證明上，目前仍未被認定是經常發生的案例。總地說來，我們可以通過業界常用的帳戶安全實踐，來防范和規避此類攻擊。

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗；持續以博文、專題和譯文等形式，分享前沿技術與新知；經常以線上、線下等方式，開展信息安全類培訓與授課。

原文標題：??What Is Account Pre-Hijacking and How Does It Work????，作者：ELLIOT NESBO?