帳戶劫持（Account hijacking）是控制他人賬戶的行為，目的通常是竊取個人信息、冒充或勒索受害者。賬戶劫持作為一種常見的攻擊類型，執(zhí)行起來卻并不容易，為了成功實施攻擊，攻擊者必須提前弄清楚受害者的密碼。

不過，研究人員已經(jīng)發(fā)現(xiàn)了一種稱為“帳戶預劫持”（Pre-Hijacking）的新型攻擊。它涉及到利用尚未創(chuàng)建的帳戶，并允許攻擊者在不訪問密碼的情況下實現(xiàn)相同的目標。

那么究竟什么是帳戶預劫持，以及如何免受此類劫持的影響呢？

帳戶預劫持概念

帳戶預劫持是一種新型的網(wǎng)絡攻擊。攻擊者需要使用其他人的電子郵件地址在流行服務上創(chuàng)建一個帳戶。

當受害者嘗試使用相同的電子郵件地址去創(chuàng)建帳戶時，攻擊者就擁有并保留了對該帳戶的控制權(quán)。然后，攻擊者就可以訪問受害者提供的任何信息。而且，他們會在之后的一段時間，持續(xù)獨占對該帳戶的控制權(quán)。

帳戶預劫持的運行方式

為了進行預劫持，攻擊者首先需要訪問一個電子郵件地址。而這些地址信息遍布暗網(wǎng)，例如，當發(fā)生數(shù)據(jù)泄露時，就會出現(xiàn)大量電子郵件地址被轉(zhuǎn)儲到暗網(wǎng)中。

然后，攻擊者會在該電子郵件地址所有者尚未使用的流行服務上創(chuàng)建一個賬戶。鑒于許多大型服務提供商通常會提供廣泛的服務棧，因此預測受害者會在某個時刻注冊這樣的賬戶并不困難。而且，這些活動通常是批量進行的，旨在提高成功率。

當受害者試圖用電子郵件地址在目標服務上創(chuàng)建一個帳戶時，他們就會被告知該帳戶已存在，并會被要求重置他們的密碼。而大多數(shù)受害者會質(zhì)疑自身確實已經(jīng)注冊過賬戶，并按照要求重置他們的密碼。

隨后，攻擊者將會收到新帳戶密碼的更新通知，并持續(xù)保留對該賬戶的訪問權(quán)限。

這種攻擊發(fā)生的具體機制各不相同，但主要分為五種不同的類型。

帳戶預劫持主要類型

(1) 經(jīng)典聯(lián)合歸并（Classic-Federated Merge）攻擊

如今，許多在線平臺都會讓您選擇聯(lián)合身份（例如，您的Gmail帳戶）登錄，或使用您的Gmail地址來創(chuàng)建新帳戶。如此一來，如果攻擊者使用您的Gmail地址注冊了賬戶，那么在您使用Gmail帳戶登錄時，就可能訪問到同一個帳戶內(nèi)，進而遭受賬戶預劫持攻擊。

(2) 未過期的會話標識符（Unexpired Session Identifier）攻擊

攻擊者使用受害者的電子郵件地址創(chuàng)建一個帳戶，并持續(xù)保持一個活躍的會話。當受害者創(chuàng)建一個帳戶并重置他們的密碼時，由于平臺并未將原先的攻擊者從活躍會話中注銷，因此攻擊者仍保留對該帳戶的控制權(quán)。

(3) 木馬標識符（Trojan Identifier）攻擊

攻擊者創(chuàng)建了一個帳戶并添加進一步的賬戶恢復選項，這可能是另一個電子郵件地址或電話號碼。如此一來，即便受害者可以重置該帳戶的密碼，但攻擊者仍然可以使用帳戶恢復選項來控制它。

(4) 未過期的電子郵件更改（Unexpired Email Change）攻擊

攻擊者創(chuàng)建一個帳戶并啟動電子郵件地址的更改請求。這樣，他們會收到一個鏈接，用于更改帳戶的電子郵件地址，但他們并沒有完成該過程。受害者可以重置該帳戶的密碼，但這并不一定會使攻擊者之前收到的鏈接失效。然后，攻擊者仍可使用該鏈接來控制該帳戶。

(5) 非驗證身份提供商（Non-Verifying Identity Provider）攻擊

攻擊者使用無需郵件地址身份驗證的提供商來創(chuàng)建帳戶。當受害者使用相同的電子郵件地址注冊時，他們可能都可以訪問同一個帳戶。

帳戶預劫持的可能性

正常情況下，如果攻擊者使用您的電子郵件地址注冊新帳戶，通常會被要求去驗證電子郵件的地址。假設他們沒有入侵您的電子郵件賬戶，這幾乎是不可能的。

不過，問題就在于，許多服務提供商會允許用戶在驗證電子郵件之前，以有限的功能開啟和訪問帳戶。這就為攻擊者提供了可乘之機，允許他們在無需驗證的情況下為此類攻擊準備好一個帳戶。

易受攻擊的“重災”平臺

Alexa公司研究人員針對全球排名前150的75個不同類型平臺進行了測試，結(jié)果發(fā)現(xiàn)，其中35個平臺存在潛在漏洞。這些平臺包括LinkedIn、Instagram、WordPress以及Dropbox等知名品牌。

雖然研究人員已經(jīng)通知了所有存在潛在漏洞的公司，但目前尚不清楚他們是否已采取足夠的措施來防范此類攻擊。

攻擊對受害者的危害

如果您受到此類攻擊，攻擊者將可以訪問到您提供的任何信息。根據(jù)具體的帳戶類型，這可能涉及個人隱私信息。如果攻擊者針對電子郵件提供商執(zhí)行此類攻擊，那么他們甚至可能會試圖冒充您。如果您的賬戶極具價值，它也可能會被盜，并要求您支付贖金來贖回該賬戶。

帳戶預劫持防御策略

針對這種威脅的主要保護措施是明確它的存在。

如果您設置了一個帳戶，并被告知該帳戶已經(jīng)存在，那么您應該使用不同的電子郵件地址去進行注冊。如果您為所有最重要的帳戶使用不同的電子郵件地址，那么這種攻擊既幾乎是不可能的。

在一定程度上，這種攻擊的成功還得益于用戶不使用雙因素身份驗證（2FA）。如果您在設置帳戶時啟用雙因素身份驗證，那么其他有權(quán)訪問該賬戶的人將無法登錄。當然，雙因素身份驗證還可用于防范其他在線威脅，例如網(wǎng)絡釣魚和數(shù)據(jù)泄露等。

賬戶預劫持很容易避免

帳戶劫持是一種常見威脅，但帳戶預劫持卻是一種新型威脅，到目前為止，還主要是理論上的。在注冊許多在線服務時可能會出現(xiàn)這種情況，但目前還沒有被認定為經(jīng)常發(fā)生的情況。

雖然此類攻擊的受害者可能會喪失帳戶訪問權(quán)限并造成個人信息泄露，但它同時也很容易避免。如果您注冊了一個新帳戶并被告知賬戶已存在，請記住務必使用不同的電子郵件地址完成注冊。同時，踐行帳戶安全實踐來防范和規(guī)避此類攻擊。

本文翻譯自：https://www.makeuseof.com/what-is-account-pre-hijacking/