此類攻擊針對的是網站以及網絡在線平臺中無處不在的賬戶創建過程，攻擊者能夠在毫無防備的受害者于目標服務中創建賬戶之前執行一系列的行為。

此項研究是由個人安全研究員Avinash Sudhodanan與微軟安全響應中心(MSRC）的Andrew Paverd 聯合展開的。

預劫持攻擊的前提條件是攻擊者能夠提前擁有與受害者相關的唯一標識符，例如電子郵件地址、電話號碼，或者其他信息，這些信息一般可以通過抓取受害者的社交媒體賬戶獲取，也可以通過轉儲那些因大量的數據泄露而在網上傳播的憑證來獲取。

此類攻擊有五種不同的方式，包括與受害者同時使用同一個電子郵件地址來注冊賬戶，這樣就有一定的可能性使攻擊者與受害者同時擁有訪問目標賬戶的權限。

預劫持的攻擊效果與普通劫持攻擊的一樣。兩者都可以使攻擊者在受害者不知情的情況下竊取受害者的機密信息，甚至可以利用服務的特性來冒充受害者。

研究人員表示，如果可以在受害者創建賬戶之前用其電子郵件地址在目標服務上創建一個賬戶，那么攻擊者就可以利用各種技術使賬戶進入預劫持的狀態。當受害者恢復訪問權限并開始使用賬戶時，攻擊者就可以重新訪問并接管該賬戶。

預劫持的五種攻擊方式如下：

(1) 典型-聯邦合并攻擊：攻擊者和受害者分別使用兩個與同一電子郵件地址關聯的身份創建兩個賬戶，這樣攻擊者就可以與受害者同時擁有訪問目標賬戶的權限了。

(2) 未過期的會話標識符攻擊：攻擊者首先使用受害者的電子郵件地址創建一個賬戶，并創建一個長期運行的活動會話。當用戶使用相同的電子郵件地址恢復賬戶時，攻擊者便可以繼續持有訪問權限，因為密碼重置并沒有終止攻擊者創建的會話。 

(3) 木馬標識符攻擊：攻擊者首先使用受害者的電子郵件地址創建一個賬戶，然后添加一個木馬標識符，例如次要的電子郵件地址或者攻擊者控制下的電話號碼。這樣，當受害者重置密碼，恢復訪問權時，攻擊者就可以使用木馬標識符重新獲取該賬戶的訪問權。

(4) 未過期的電子郵件更改攻擊：攻擊者首先使用受害者的電子郵件地址創建一個賬戶，然后將電子郵件地址更改為自己控制下的地址。當服務向新的電子郵件地址發送驗證URL時，攻擊者便開始等待受害者恢復并使用目標賬戶，然后完成電子郵件更改進程以奪取賬戶的控制權。

(5) 非驗證身份提供程序(IdP)攻擊：攻擊者首先使用非驗證的IdP創建一個具有目標服務的賬戶。當受害者通過經典注冊路徑，用相同的電子郵件地址創建賬戶時，攻擊者就獲得了該賬戶的訪問權限。

在對Alexa排名中最受歡迎的前75個網站進行的實證評估中，在35個服務上發現了56個預劫持漏洞。其中包括13個經典-聯邦合并攻擊，19個未過期的會話標識符攻擊，12個木馬標識符攻擊，11個未過期的電子郵件更改方式攻擊，以及一個跨越幾個IdP平臺的非驗證攻擊。

• Dropbox —— 未過期的電子郵件更改攻擊
• Instagram —— 木馬標識符攻擊
• LinkedIn —— 未過期的會話標識符攻擊
• Wordpress.com —— 未過期的會話標識符攻擊以及未過期的電子郵件更改攻擊
• Zoom —— 經典-聯邦合并攻擊以及非驗證身份提供程序(IdP)攻擊

研究人員表示：遭受攻擊的根本原因……均是未能核實所聲稱標識符的所有權。

盡管許多服務的確在執行此種類型的驗證，但他們通常是異步進行的，允許用戶可以在標識符被驗證之前使用賬戶的部分功能。雖然這樣可以提高其可用性（減少注冊時用戶之間的摩擦），但同時它也使用戶變得更加容易受到預劫持攻擊。”

盡管在服務中實現嚴格的標識符驗證對于緩解預劫持攻擊至關重要，但同時還是要建議用戶盡量使用多因素身份驗證(MFA)，來保護他們的賬戶。

研究人員表示： 正確實施MFA，不僅可以防止攻擊者在受害者開始使用預劫持賬戶后，再對該賬戶進行身份驗證，而且可以使所有在MFA激活之前創建的會話失效，以防止未過期的會話攻擊?！?/p>

除此之外，對于在線服務，建議定期刪除那些未經驗證的賬戶、強制執行低窗口來對電子郵件地址的更改進行驗證，并使會話在密碼重置期間失效，從而實現賬戶管理的深入防御。

Sudhodanan和 Paverd 表示，服務需要將通過典型路徑創建的賬戶與通過聯邦創建的賬戶進行合并時，必須事前確保是用戶本人在控制這兩個賬戶。

點評

無論是網絡平臺還是用戶個人，安全意識的缺乏都使得預劫持攻擊有機可乘。對于網站或在線平臺，事先核實用戶實際擁有的所有標識符，然后再去創建新賬戶或將其添加至現有賬戶是很有必要的。而對于用戶，應盡可能地啟用多因素認證機制。同時，收到并非自己創建的賬戶郵件也是預劫持攻擊的重要跡象，需及時向相關平臺反饋。