חטיפת חשבון היא הפעולה של השתלטות על חשבון של מישהו אחר. זה מבוצע בדרך כלל בתקווה לגנוב מידע אישי, להתחזות לקורבן או לסחוט אותו. חטיפת חשבון היא בעיה נפוצה אך היא לא קלה לביצוע. כדי להצליח, התוקף צריך כמובן להבין את הסיסמה של הקורבן.

חוקרים גילו סוג חדש של התקפה המכונה חטיפת חשבון מראש. זה כולל חשבונות שעדיין לא נוצרו ומאפשר לתוקפים להשיג את אותה מטרה ללא גישה לסיסמה.

אז מהי חטיפת חשבון מראש וכיצד תוכל להגן על עצמך מפניה?

מהי חטיפת חשבון מראש?

חטיפת חשבונות מראש היא סוג חדש של מתקפת סייבר. התוקף יוצר חשבון בשירות פופולרי באמצעות כתובת הדוא"ל של מישהו אחר.

כאשר הקורבן מנסה ליצור חשבון באמצעות אותה כתובת דואר אלקטרוני, התוקף שומר על השליטה בחשבון. כל מידע שסופק על ידי הקורבן נגיש לאחר מכן לתוקף, ואז הם עשויים לקבל שליטה בלעדית על החשבון במועד מאוחר יותר.

כיצד פועלת חטיפת חשבון מראש?

על מנת לבצע חטיפה מוקדמת, התוקף צריך קודם כל גישה לכתובת דואר אלקטרוני. אלה זמינים באופן נרחב ברשת האפלה. כש מתרחשת הפרת נתונים, קבוצות גדולות של כתובות דוא"ל מתפרסמות בדרך כלל כמזימות נתונים.

לאחר מכן התוקף יוצר חשבון בשירות פופולרי שבו הבעלים של כתובת הדואר האלקטרוני עדיין לא השתמש בו. התקפה זו אפשרית על ספקי שירות גדולים רבים, כך שלנבא שקורבנות ירצו בשלב מסוים חשבון כזה לא בהכרח קשה.

instagram viewer

כל זה מתבצע בכמויות גדולות, בתקווה שמספר מסוים של התקפות יצליחו בסופו של דבר.

כאשר הקורבן ינסה ליצור חשבון בשירות הממוקד, יגידו לו שכבר יש לו חשבון ויתבקשו לאפס את הסיסמה שלו. קורבנות רבים יאפסו את הסיסמה שלהם בהנחה שזו שגיאה.

לאחר מכן התוקף יקבל הודעה על החשבון החדש ואולי יוכל לשמור עליו גישה.

המנגנון הספציפי שבאמצעותו מתקפה זו מתרחשת משתנה, אך ישנם חמישה סוגים נפרדים.

מתקפת מיזוג קלאסית-פדרית

פלטפורמות מקוונות רבות נותנות לך בחירה בין כניסה באמצעות זהות מאוחדת כגון חשבון Gmail שלך או יצירת חשבון חדש באמצעות כתובת Gmail שלך. אם התוקף נרשם באמצעות כתובת Gmail שלך ואתה נכנס באמצעות חשבון Gmail שלך, ייתכן שלשניכם תהיה גישה לאותו חשבון.

מתקפת מזהה הפעלה שלא פג

התוקף יוצר חשבון באמצעות כתובת הדוא"ל של הקורבן והם שומרים על הפעלה פעילה. כאשר הקורבן יוצר חשבון ומאפס את הסיסמה שלו, התוקף שומר על השליטה בחשבון מכיוון שהפלטפורמה לא ניתקה אותו מההפעלה הפעילה שלו.

מתקפת מזהה טרויאני

התוקף יוצר חשבון ומוסיף אפשרות נוספת לשחזור חשבון. ייתכן שזו כתובת דוא"ל אחרת או מספר טלפון. הקורבן יכול לאפס את הסיסמה של החשבון אך התוקף עדיין יכול להשתמש באפשרות שחזור החשבון כדי להשתלט עליו.

מתקפת שינוי אימייל שלא תפוגה

התוקף יוצר חשבון ויוזם שינוי כתובת דואר אלקטרוני. הם מקבלים קישור לשינוי כתובת האימייל של החשבון, אך הם לא משלימים את התהליך. הקורבן יכול לאפס את הסיסמה של החשבון אבל זה לא בהכרח מבטל את הקישור שקיבל התוקף. לאחר מכן התוקף יכול להשתמש בקישור כדי להשתלט על החשבון.

התקפה של ספק זהות ללא אימות

התוקף יוצר חשבון באמצעות ספק זהות שאינו מאמת כתובות דוא"ל. כאשר הקורבן נרשם באמצעות אותה כתובת דוא"ל, ייתכן שלשניהם תהיה גישה לאותו חשבון.

כיצד תיתכן חטיפת חשבון מראש?

אם תוקף נרשם לחשבון באמצעות כתובת הדוא"ל שלך, הוא יתבקש בדרך כלל לאמת את כתובת הדוא"ל. בהנחה שהם לא פרצו לחשבון האימייל שלך, זה לא יתאפשר.

הבעיה היא שספקי שירות רבים מאפשרים למשתמשים להשאיר את החשבון פתוח עם פונקציונליות מוגבלת לפני שדוא"ל זה מאומת. זה מאפשר לתוקפים להכין חשבון להתקפה זו ללא אימות.

אילו פלטפורמות פגיעות?

חוקרים בדקו 75 פלטפורמות שונות מתוך 150 המובילות לפי אלקסה. הם גילו ש-35 מהפלטפורמות הללו היו פגיעות בפוטנציה. זה כולל שמות גדולים כמו LinkedIn, Instagram, WordPress ו-Dropbox.

כל החברות שהתגלו כפגיעות קיבלו מידע על ידי החוקרים. אבל לא ידוע אם ננקטו פעולות מספיקות כדי למנוע את ההתקפות הללו.

מה קורה לקורבן?

אם תיפול להתקפה זו, כל מידע שתספק יהיה נגיש לתוקף. בהתאם לסוג החשבון, זה עשוי לכלול מידע אישי. אם מתקפה זו מבוצעת נגד ספק אימייל, התוקף עלול לנסות להתחזות אליך. אם החשבון הוא בעל ערך, הוא עלול גם להיגנב, וניתן לבקש ממך כופר עבור החזרתו.

כיצד להתגונן מפני חטיפת חשבון מראש

ההגנה העיקרית מפני איום זה היא לדעת שהוא קיים.

אם הגדרת חשבון ונאמר לך שכבר קיים חשבון, עליך להירשם עם כתובת דוא"ל אחרת. התקפה זו בלתי אפשרית אם אתה משתמש בכתובות דוא"ל שונות עבור כל החשבונות החשובים ביותר שלך.

התקפה זו מסתמכת גם על כך שהמשתמש לא משתמש אימות דו-גורמי (2FA). אם תגדיר חשבון ותפעיל את 2FA, כל מי שיש לו גישה לחשבון לא יוכל להתחבר. 2FA מומלץ גם להגנה מפני איומים מקוונים אחרים כגון דיוג והפרות נתונים.

קל להימנע מחטיפת חשבון מראש

חטיפת חשבון היא בעיה נפוצה. אבל חטיפת חשבון מראש היא איום חדש, ועד כה, בעיקרו תיאורטי. זוהי אפשרות בעת הרשמה לשירותים מקוונים רבים, אך עדיין לא מאמינים שזו תופעה קבועה.

בעוד קורבנות של מתקפה זו עלולים לאבד את הגישה לחשבון ולגנוב את המידע האישי שלהם, זה גם קל להימנע. אם אתה נרשם לחשבון חדש ונאמר לך שכבר יש לך חשבון, עליך להשתמש בכתובת דוא"ל אחרת.