Kontokapning är handlingen att ta kontroll över någon annans konto. Det utförs vanligtvis i hopp om att stjäla personlig information, utge sig för att vara offret eller att utpressa dem. Kontokapning är ett vanligt problem men det är inte lätt att utföra. För att lyckas måste angriparen uppenbarligen ta reda på offrets lösenord.
Forskare har upptäckt en ny typ av attack som kallas kontoförkapning. Det involverar konton som ännu inte har skapats och låter angripare uppnå samma mål utan tillgång till ett lösenord.
Så vad är kontoförkapning och hur kan du skydda dig från det?
Vad är kontoförkapning?
Kontoförkapning är en ny typ av cyberattack. Angriparen skapar ett konto på en populär tjänst med hjälp av någon annans e-postadress.
När offret försöker skapa ett konto med samma e-postadress behåller angriparen kontrollen över kontot. All information som offret tillhandahåller är sedan tillgänglig för angriparen, och de kan sedan ta exklusiv kontroll över kontot vid ett senare tillfälle.
Hur fungerar förkapning av konton?
För att kunna utföra förkapning behöver angriparen först tillgång till en e-postadress. Dessa är allmänt tillgängliga på den mörka webben. När en dataintrång inträffar, stora partier av e-postadresser publiceras vanligtvis som datadumpar.
Angriparen skapar sedan ett konto på en populär tjänst som ägaren av e-postadressen ännu inte har använt. Denna attack är möjlig mot många stora tjänsteleverantörer så att förutsäga att offer någon gång kommer att vilja ha ett sådant konto är inte nödvändigtvis svårt.
Allt detta genomförs i bulk, i hopp om att ett visst antal attacker så småningom ska lyckas.
När offret försöker skapa ett konto på den riktade tjänsten kommer de att få veta att de redan har ett konto och kommer att bli ombedd att återställa sitt lösenord. Många offer kommer att återställa sitt lösenord förutsatt att det är ett fel.
Angriparen kommer då att meddelas om det nya kontot och kan ha kvar åtkomst till det.
Den specifika mekanismen genom vilken denna attack sker varierar, men det finns fem olika typer.
Klassisk-federerad sammanslagsattack
Många onlineplattformar ger dig möjlighet att logga in med en federerad identitet som ditt Gmail-konto eller skapa ett nytt konto med din Gmail-adress. Om angriparen registrerar sig med din Gmail-adress och du loggar in med ditt Gmail-konto, är det möjligt att ni båda har åtkomst till samma konto.
Outgången sessionsidentifierare attack
Angriparen skapar ett konto med offrets e-postadress och de håller en aktiv session. När offret skapar ett konto och återställer sitt lösenord, behåller angriparen kontrollen över kontot eftersom plattformen inte loggade ut dem från sin aktiva session.
Trojan Identifier Attack
Angriparen skapar ett konto och lägger till ytterligare ett alternativ för kontoåterställning. Detta kan vara en annan e-postadress eller ett telefonnummer. Offret kan återställa lösenordet för kontot men angriparen kan fortfarande använda alternativet för kontoåterställning för att ta kontroll över det.
E-poständringsattack som inte har löpt ut
Angriparen skapar ett konto och initierar en ändring av e-postadress. De får en länk för att ändra e-postadressen för kontot, men de slutför inte processen. Offret kan återställa lösenordet för kontot men detta inaktiverar inte nödvändigtvis länken som angriparen fick. Angriparen kan sedan använda länken för att ta kontroll över kontot.
Icke-verifierande identitetsleverantör attack
Angriparen skapar ett konto med en identitetsleverantör som inte verifierar e-postadresser. När offret registrerar sig med samma e-postadress är det möjligt att de båda kommer att ha tillgång till samma konto.
Hur är kontoförkapning möjlig?
Om en angripare registrerar sig för ett konto med din e-postadress kommer de vanligtvis att uppmanas att verifiera e-postadressen. Förutsatt att de inte har hackat ditt e-postkonto kommer detta inte att vara möjligt.
Problemet är att många tjänsteleverantörer tillåter användare att hålla kontot öppet med begränsad funktionalitet innan den e-posten verifieras. Detta gör att angripare kan förbereda ett konto för denna attack utan verifiering.
Vilka plattformar är sårbara?
Forskare testade 75 olika plattformar av de 150 bästa enligt Alexa. De fann att 35 av dessa plattformar var potentiellt sårbara. Detta inkluderar stora namn som LinkedIn, Instagram, WordPress och Dropbox.
Alla företag som upptäcktes vara sårbara informerades av forskarna. Men det är inte känt om tillräckliga åtgärder har vidtagits för att förhindra dessa attacker.
Vad händer med offret?
Om du faller för denna attack kommer all information du tillhandahåller att vara tillgänglig för angriparen. Beroende på typen av konto kan detta innehålla personlig information. Om denna attack utförs mot en e-postleverantör kan angriparen försöka utge sig för dig. Om kontot är värdefullt kan det också bli stulet, och du kan bli ombedd om en lösen för att få tillbaka det.
Hur man skyddar sig mot förkapning av konton
Det primära skyddet mot detta hot är att veta att det finns.
Om du skapar ett konto och får veta att ett konto redan finns, bör du registrera dig med en annan e-postadress. Denna attack är omöjlig om du använder olika e-postadresser för alla dina viktigaste konton.
Denna attack är också beroende av att användaren inte använder Tvåfaktorsautentisering (2FA). Om du ställer in ett konto och aktiverar 2FA kommer ingen annan med åtkomst till kontot att kunna logga in. 2FA rekommenderas också för att skydda mot andra onlinehot som nätfiske och dataintrång.
Kontoförkapning är lätt att undvika
Kontokapning är ett vanligt problem. Men kontoförkapning är ett nytt hot och än så länge till stor del teoretiskt. Det är en möjlighet när du registrerar dig för många onlinetjänster, men det tros ännu inte vara en vanlig händelse.
Även om offer för denna attack kan förlora kontoåtkomst och få sin personliga information stulen, är det också lätt att undvika. Om du registrerar dig för ett nytt konto och får veta att du redan har ett, bör du använda en annan e-postadress.