详解“账号预劫持”的概念、原理和防范措施

​译者 | 陈峻

审校 | 孙淑娟 

帐户劫持(Account hijacking)通常是一种以窃取个人信息、冒充受害者、以及实施勒索为目的的、控制他人帐户的行为。此类攻击虽然十分常见,但是攻击者需要提前获取受害者的密码,方可成功实施。

目前,研究人员发现了一种被称为帐户预劫持(Pre-Hijacking)的新型攻击。它不但涉及到利用尚未创建的帐户,而且允许攻击者可以在不访问密码的情况下达到攻击的目标。下面,让我们一起来了解一下什么是帐户预劫持,以及如何免受此类劫持的攻击。

什么是帐户预劫持?

帐户预劫持是一种新型的网络攻击。攻击者需要使用其他人的电子邮件地址,在一些常用的流行服务上创建一个新的帐户。而当受害者尝试着使用相同的电子邮件地址去创建帐户时,攻击者就拥有并保留了对该帐户的控制权。在此基础上,攻击者便可以访问到受害者所持有的各种机密信息。而且,他们会在之后的一段时间,持续独占对该帐户的控制权。

帐户预劫持的工作原理

为了实现预劫持,攻击者首先需要访问一个电子邮件地址。这些地址往往可以在暗网上轻松地被获取到。例如,当某平台发生数据泄露时,就会出现大量电子邮件地址被打包、转售并发布到暗网中。

通过查找和比对,攻击者可以在某个邮件域名的所有者,新近开通或正在使用的流行服务上,创建一个新的帐户。而正是由于许多大型服务提供商通常会提供广泛的服务栈,因此攻击者很容易实现此类攻击。同时,攻击者往往会批量开展此类攻击,以提高得手的几率。

后续,当受害者试图在目标服务上创建一个相同的帐户时,他们就会被告知该帐户已经存在,并会被要求重置已有的密码。而许多受害者会就此对自己过去的行为产生质疑,进而老老实实地重置了所谓“已有”的密码。

此时,攻击者将能够马上收到新帐户密码的更新通知,并持续保留对该账户的访问权限。

帐户预劫持的攻击类型

在了解了帐户预劫持的概念和攻击步骤后,下面我们来探讨一下此类攻击发生的具体机制。通常,我们可能碰到如下五种不同类型的帐户预劫持攻击:

  • 经典的联合归并(Classic-Federated Merge)攻击

如今,许多在线服务平台都会让您选择是使用联合身份(例如,您的Gmail帐户)登录,还是使用您的Gmail地址来创建新的帐户。显然,如果攻击者已使用您的Gmail地址完成了注册,那么您在使用Gmail帐户登录时,就可能访问到同一个帐户内,进而遭受后续的攻击。

  • 未过期的会话身份(Unexpired Session Identifier)攻击

攻击者使用受害者的邮件地址,事先创建一个帐户,并持续保持一个活跃的会话。而当受害者创建一个帐户,并重置他们的密码时,由于平台并未将原先的攻击者从活跃会话中注销,因此攻击者仍保留对该帐户的控制权。

  • 木马身份(Trojan Identifier)攻击

攻击者事先创建了一个帐户,并为该帐户添加了可以被进一步恢复的选项,例如:另一个电子邮件地址、或是电话号码。那么,虽然受害者可以重置该帐户的密码,但是攻击者仍然可以使用帐户恢复选项,来重新获得控制权。

  • 未过期的电子邮件更改(Unexpired Email Change)攻击

攻击者事先创建一个帐户,并启动了电子邮件地址的更改请求。他们当然会收到一个链接,可用来更改帐户的电子邮件地址,但他们没有完成该过程。此时,受害者开始重置帐户的密码,但此举并不能使攻击者之前收到的链接失效。据此,攻击者仍然可以使用该链接来控制该帐户,包括重置密码等行为。

  • 无需验证身份提供方(Non-Verifying Identity Provider)攻击

攻击者使用无需邮件地址身份验证的提供方来创建帐户。那么当受害者使用相同的电子邮件地址注册时,等于协助攻击者完善了该新的帐户。此后,他们也就使用同一个帐户进行后续的访问操作了。

帐户预劫持的可能性

正常情况下,如果攻击者使用您的电子邮件地址去注册新的帐户,那么就会被要求去验证电子邮件的地址。而在您的电子邮件帐户未被入侵之前,攻击者是不可能得逞的。不过,正如前面所说,问题就在于,许多服务提供方会允许用户在验证电子邮件之前,以有限的功能去开启和访问帐户。这就给了攻击者的可乘之机,他们能够在无需验证的情况下,为后续攻击准备好此类帐户。

哪些平台易受攻击?

Alexa的研究人员测试了全球顶流的75个不同类型的平台。他们发现其中的35个平台普遍存在着此类的潜在漏洞。其中不乏:LinkedIn、Instagram、WordPress、以及Dropbox等一线大平台。虽然研究人员通知了所有被发现存在此类漏洞的公司,但目前他们尚不清楚有哪家已采取了足够的措施,来防范此类攻击。

如果受到攻击会怎样?

如果您受到此类攻击,攻击者将可以访问到您帐户内的任何信息,并且可以根据该帐户的类型,进一步推断出用户更多的个人信息。同时,如果攻击者是从电子邮件提供方的角度发起攻击,那么他们不但可以冒充您的身份,而且能够顺藤摸瓜地通过您的帐户,攫取与之绑定的支付平台上的金额。当然,他们也可能以被盗金额或帐户控制权,来要挟您支付赎金。

如何防止帐户预劫持

针对此类威胁,我们主要可以通过如下措施来予以防范:

  • 如果您设置了一个帐户,并被告知该帐户已经存在,那么您就应该使用不同的电子邮件地址去完成注册。同时,请为所有重要的帐户分别使用不同的电子邮件地址,以免将风险集中在一个篮子里。
  • 此类攻击对于那些依赖于不使用双重身份验证(2FA)的用户来说特别奏效。因此,如果您在设置帐户时打开了2FA,则能够在入门级别抵挡住此类攻击。当然,2FA也能够有效地防范诸如:网络钓鱼和数据泄露等在线威胁。

小结

综上所述,帐户劫持已是十分常见,而帐户预劫持则是一种比较新的威胁。其典型的场景发生在用户注册了良莠不齐的多种在线服务时。当然,这也只是停留在理论证明上,目前仍未被认定是经常发生的案例。总地说来,我们可以通过业界常用的帐户安全实践,来防范和规避此类攻击。

译者介绍

陈峻 (Julian Chen),IDC.NET社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。

原文标题:​​What Is Account Pre-Hijacking and How Does It Work?​​​,作者:ELLIOT NESBO​

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/124306.html<

(0)
管理的头像管理
上一篇2025-02-23 05:27
下一篇 2025-02-23 05:28

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注