详解“账号预劫持”的概念、原理和防范措施

​译者 | 陈峻

专注于为中小企业提供成都网站建设、成都网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业昂昂溪免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了上1000+企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

审校 | 孙淑娟

帐户劫持（Account hijacking）通常是一种以窃取个人信息、冒充受害者、以及实施勒索为目的的、控制他人帐户的行为。此类攻击虽然十分常见，但是攻击者需要提前获取受害者的密码，方可成功实施。

目前，研究人员发现了一种被称为帐户预劫持（Pre-Hijacking）的新型攻击。它不但涉及到利用尚未创建的帐户，而且允许攻击者可以在不访问密码的情况下达到攻击的目标。下面，让我们一起来了解一下什么是帐户预劫持，以及如何免受此类劫持的攻击。

什么是帐户预劫持?

帐户预劫持是一种新型的网络攻击。攻击者需要使用其他人的电子邮件地址，在一些常用的流行服务上创建一个新的帐户。而当受害者尝试着使用相同的电子邮件地址去创建帐户时，攻击者就拥有并保留了对该帐户的控制权。在此基础上，攻击者便可以访问到受害者所持有的各种机密信息。而且，他们会在之后的一段时间，持续独占对该帐户的控制权。

帐户预劫持的工作原理

为了实现预劫持，攻击者首先需要访问一个电子邮件地址。这些地址往往可以在暗网上轻松地被获取到。例如，当某平台发生数据泄露时，就会出现大量电子邮件地址被打包、转售并发布到暗网中。

通过查找和比对，攻击者可以在某个邮件域名的所有者，新近开通或正在使用的流行服务上，创建一个新的帐户。而正是由于许多大型服务提供商通常会提供广泛的服务栈，因此攻击者很容易实现此类攻击。同时，攻击者往往会批量开展此类攻击，以提高得手的几率。

后续，当受害者试图在目标服务上创建一个相同的帐户时，他们就会被告知该帐户已经存在，并会被要求重置已有的密码。而许多受害者会就此对自己过去的行为产生质疑，进而老老实实地重置了所谓“已有”的密码。

此时，攻击者将能够马上收到新帐户密码的更新通知，并持续保留对该账户的访问权限。

帐户预劫持的攻击类型

在了解了帐户预劫持的概念和攻击步骤后，下面我们来探讨一下此类攻击发生的具体机制。通常，我们可能碰到如下五种不同类型的帐户预劫持攻击：

• 经典的联合归并（Classic-Federated Merge）攻击

如今，许多在线服务平台都会让您选择是使用联合身份（例如，您的Gmail帐户）登录，还是使用您的Gmail地址来创建新的帐户。显然，如果攻击者已使用您的Gmail地址完成了注册，那么您在使用Gmail帐户登录时，就可能访问到同一个帐户内，进而遭受后续的攻击。

• 未过期的会话身份（Unexpired Session Identifier）攻击

攻击者使用受害者的邮件地址，事先创建一个帐户，并持续保持一个活跃的会话。而当受害者创建一个帐户，并重置他们的密码时，由于平台并未将原先的攻击者从活跃会话中注销，因此攻击者仍保留对该帐户的控制权。

• 木马身份（Trojan Identifier）攻击

攻击者事先创建了一个帐户，并为该帐户添加了可以被进一步恢复的选项，例如：另一个电子邮件地址、或是电话号码。那么，虽然受害者可以重置该帐户的密码，但是攻击者仍然可以使用帐户恢复选项，来重新获得控制权。

• 未过期的电子邮件更改（Unexpired Email Change）攻击

攻击者事先创建一个帐户，并启动了电子邮件地址的更改请求。他们当然会收到一个链接，可用来更改帐户的电子邮件地址，但他们没有完成该过程。此时，受害者开始重置帐户的密码，但此举并不能使攻击者之前收到的链接失效。据此，攻击者仍然可以使用该链接来控制该帐户，包括重置密码等行为。

• 无需验证身份提供方（Non-Verifying Identity Provider）攻击

攻击者使用无需邮件地址身份验证的提供方来创建帐户。那么当受害者使用相同的电子邮件地址注册时，等于协助攻击者完善了该新的帐户。此后，他们也就使用同一个帐户进行后续的访问操作了。

帐户预劫持的可能性

正常情况下，如果攻击者使用您的电子邮件地址去注册新的帐户，那么就会被要求去验证电子邮件的地址。而在您的电子邮件帐户未被入侵之前，攻击者是不可能得逞的。不过，正如前面所说，问题就在于，许多服务提供方会允许用户在验证电子邮件之前，以有限的功能去开启和访问帐户。这就给了攻击者的可乘之机，他们能够在无需验证的情况下，为后续攻击准备好此类帐户。

哪些平台易受攻击？

Alexa的研究人员测试了全球顶流的75个不同类型的平台。他们发现其中的35个平台普遍存在着此类的潜在漏洞。其中不乏：LinkedIn、Instagram、WordPress、以及Dropbox等一线大平台。虽然研究人员通知了所有被发现存在此类漏洞的公司，但目前他们尚不清楚有哪家已采取了足够的措施，来防范此类攻击。

如果受到攻击会怎样？

如果您受到此类攻击，攻击者将可以访问到您帐户内的任何信息，并且可以根据该帐户的类型，进一步推断出用户更多的个人信息。同时，如果攻击者是从电子邮件提供方的角度发起攻击，那么他们不但可以冒充您的身份，而且能够顺藤摸瓜地通过您的帐户，攫取与之绑定的支付平台上的金额。当然，他们也可能以被盗金额或帐户控制权，来要挟您支付赎金。

如何防止帐户预劫持

针对此类威胁，我们主要可以通过如下措施来予以防范：

• 如果您设置了一个帐户，并被告知该帐户已经存在，那么您就应该使用不同的电子邮件地址去完成注册。同时，请为所有重要的帐户分别使用不同的电子邮件地址，以免将风险集中在一个篮子里。
• 此类攻击对于那些依赖于不使用双重身份验证(2FA)的用户来说特别奏效。因此，如果您在设置帐户时打开了2FA，则能够在入门级别抵挡住此类攻击。当然，2FA也能够有效地防范诸如：网络钓鱼和数据泄露等在线威胁。

小结

综上所述，帐户劫持已是十分常见，而帐户预劫持则是一种比较新的威胁。其典型的场景发生在用户注册了良莠不齐的多种在线服务时。当然，这也只是停留在理论证明上，目前仍未被认定是经常发生的案例。总地说来，我们可以通过业界常用的帐户安全实践，来防范和规避此类攻击。

当前题目：详解“账号预劫持”的概念、原理和防范措施
当前地址：http://www.shufengxianlan.com/qtweb/news47/545347.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联