Microsoft ha pubblicato la descrizione di un particolare tipo di attacco, denominato pre-hijacking, che consente di ottenere l’accesso ad un account online prima che l’utente effettui la registrazione al servizio. Dopo aver analizzato 75 siti popolari, Andrew Paverd (ricercatore del Microsoft Security Response Center) e Avinash Sudhodanan (ricercatore indipendente) hanno scoperto che almeno 35 di essi sono vulnerabili.
Attacco pre-hijacking: funzionamento e soluzioni
L’obiettivo finale è lo stesso del classico attacco hijacking, ovvero guadagnare l’accesso all’account della vittima. Nel caso dell’attacco pre-hijacking, un malintenzionato crea l’account utilizzando l’indirizzo email dell’utente che potrebbe successivamente riottenere l’accesso all’account e aggiungere altre informazioni personali o dettagli di pagamento. A questo punto, il malintenzionato completa l’attacco prendendo definitivamente il controllo dell’account. L’indirizzo email può essere recuperato in diversi modi, ad esempio tramite scraping o data breach.
I ricercatori hanno descritto cinque tipi di attacchi pre-hijacking:
Classic-Federated Merge Attack
Il malintenzionato crea una account usando la coppia username-password, mentre la vittima usa la stessa email per creare l’account tramite l’opzione single sign-on. Se il servizio unisce i due account, malintenzionato e vittima accedono allo stesso account.
Unexpired Session Identifier Attack
L’utente non effettua il log out quando resetta la password. Il malintenzionato crea un account e mantiene la sessione attiva. Quando la vittima recupera l’account, il malintenzionato potrebbe avere ancora accesso, se la sessione attiva non è stata invalidata.
Trojan Identifier Attack
Il malintenzionato crea un account aggiungendo un “trojan identifier” (ad esempio un altro indirizzo email o un numero di telefono). Quando la vittima resetta la password, il malintenzionato usa l’identificatore per accedere all’account (ad esempio resettando la password).
Unexpired Email Change Attack
Il malintenzionato crea l’account con l’indirizzo email della vittima e successivamente avvia la procedura per sostituirlo con il suo indirizzo email. Il servizio invia quindi un link di verifica che il malintenzionato usa solo dopo che la vittima ha recuperato l’account.
Non-Verifying IdP Attack
Il malintenzionato crea l’account con un IdP (Identity Provider) e aspetta che la vittima crei l’account con il metodo classico (username e password). Se il servizio combina i due account, il malintenzionato ottiene l’accesso.
Microsoft suggerisce una serie di azioni che i fornitori dei servizi dovrebbero attuare per evitare attacchi pre-hijacking. Purtroppo l’utente non può fare nulla per ridurre i rischi, ma è sempre meglio utilizzare password robuste e uniche. Per la gestione è sufficiente utilizzare uno dei numerosi password manager disponibili sul mercato.