Accountkaping is het overnemen van het account van iemand anders. Het wordt meestal uitgevoerd in de hoop persoonlijke informatie te stelen, zich voor te doen als het slachtoffer of hen te chanteren. Accountkaping is een veelvoorkomend probleem, maar het is niet eenvoudig uit te voeren. Om succesvol te zijn, moet de aanvaller uiteraard het wachtwoord van het slachtoffer achterhalen.
Onderzoekers hebben een nieuw type aanval ontdekt dat bekend staat als account pre-hijacking. Het gaat om accounts die nog niet zijn aangemaakt en waarmee aanvallers hetzelfde doel kunnen bereiken zonder toegang tot een wachtwoord.
Dus wat is pre-hijacking van een account en hoe kun je jezelf ertegen beschermen?
Wat is pre-kaping van een account?
Account pre-hijacking is een nieuw type cyberaanval. De aanvaller maakt een account aan op een populaire service met behulp van het e-mailadres van iemand anders.
Wanneer het slachtoffer probeert een account aan te maken met hetzelfde e-mailadres, behoudt de aanvaller de controle over het account. Alle informatie die door het slachtoffer wordt verstrekt, is dan toegankelijk voor de aanvaller en hij kan dan op een later tijdstip de exclusieve controle over het account overnemen.
Hoe werkt pre-kaping van accounts?
Om pre-hijacking uit te voeren, heeft de aanvaller eerst toegang nodig tot een e-mailadres. Deze zijn algemeen beschikbaar op het dark web. Wanneer een er vindt een datalek plaats, worden grote hoeveelheden e-mailadressen meestal gepubliceerd als gegevensdumps.
De aanvaller maakt vervolgens een account aan op een populaire service die de eigenaar van het e-mailadres nog niet heeft gebruikt. Deze aanval is mogelijk bij veel grote serviceproviders, dus voorspellen dat slachtoffers op een gegeven moment zo'n account willen, is niet per se moeilijk.
Dit gebeurt allemaal in bulk, in de hoop dat een bepaald aantal aanvallen uiteindelijk zal slagen.
Wanneer het slachtoffer probeert een account aan te maken op de gerichte service, wordt hem verteld dat hij al een account heeft en wordt hem gevraagd zijn wachtwoord opnieuw in te stellen. Veel slachtoffers zullen hun wachtwoord opnieuw instellen in de veronderstelling dat het een fout is.
De aanvaller wordt dan op de hoogte gebracht van het nieuwe account en kan er mogelijk toegang toe behouden.
Het specifieke mechanisme waarmee deze aanval plaatsvindt, varieert, maar er zijn vijf verschillende typen.
Klassiek-federatieve samenvoegaanval
Veel online platforms bieden u de keuze om u aan te melden met een federatieve identiteit, zoals uw Gmail-account, of om een nieuw account aan te maken met uw Gmail-adres. Als de aanvaller zich aanmeldt met uw Gmail-adres en u zich aanmeldt met uw Gmail-account, is het mogelijk dat u allebei toegang hebt tot hetzelfde account.
Aanval van niet-verlopen sessie-ID
De aanvaller maakt een account aan met het e-mailadres van het slachtoffer en houdt een actieve sessie. Wanneer het slachtoffer een account aanmaakt en zijn wachtwoord opnieuw instelt, behoudt de aanvaller de controle over het account omdat het platform hen niet heeft uitgelogd bij hun actieve sessie.
Trojan Identifier Attack
De aanvaller maakt een account aan en voegt een extra accounthersteloptie toe. Dit kan een ander e-mailadres of een telefoonnummer zijn. Het slachtoffer kan het wachtwoord van het account opnieuw instellen, maar de aanvaller kan nog steeds de accounthersteloptie gebruiken om de controle over het account over te nemen.
Niet-verlopen e-mailwijzigingsaanval
De aanvaller maakt een account aan en voert een wijziging van het e-mailadres door. Ze ontvangen een link om het e-mailadres van het account te wijzigen, maar voltooien het proces niet. Het slachtoffer kan het wachtwoord van het account opnieuw instellen, maar dit deactiveert niet noodzakelijk de link die de aanvaller heeft ontvangen. De aanvaller kan dan de link gebruiken om de controle over het account over te nemen.
Niet-verifiërende identiteitsprovideraanval
De aanvaller maakt een account aan met een identiteitsprovider die geen e-mailadressen verifieert. Wanneer het slachtoffer zich aanmeldt met hetzelfde e-mailadres, is het mogelijk dat ze allebei toegang hebben tot hetzelfde account.
Hoe is pre-kaping van een account mogelijk?
Als een aanvaller zich aanmeldt voor een account met uw e-mailadres, wordt hem meestal gevraagd om het e-mailadres te verifiëren. Ervan uitgaande dat ze uw e-mailaccount niet hebben gehackt, is dit niet mogelijk.
Het probleem is dat veel serviceproviders gebruikers toestaan het account met beperkte functionaliteit open te houden voordat die e-mail wordt geverifieerd. Hierdoor kunnen aanvallers zonder verificatie een account voorbereiden op deze aanval.
Welke platforms zijn kwetsbaar?
Onderzoekers getest 75 verschillende platforms uit de top 150 volgens Alexa. Ze ontdekten dat 35 van deze platforms potentieel kwetsbaar waren. Dit omvat grote namen zoals LinkedIn, Instagram, WordPress en Dropbox.
Alle bedrijven die kwetsbaar bleken te zijn, werden door de onderzoekers geïnformeerd. Maar het is niet bekend of er voldoende actie is ondernomen om deze aanvallen te voorkomen.
Wat gebeurt er met het slachtoffer?
Als u voor deze aanval trapt, is alle informatie die u verstrekt toegankelijk voor de aanvaller. Afhankelijk van het type account kan dit persoonlijke informatie bevatten. Als deze aanval wordt uitgevoerd tegen een e-mailprovider, kan de aanvaller proberen zich voor u uit te geven. Als het account waardevol is, kan het ook worden gestolen en kan er losgeld worden gevraagd voor de teruggave ervan.
Hoe te beschermen tegen pre-kaping van accounts
De primaire bescherming tegen deze dreiging is te weten dat deze bestaat.
Als u een account aanmaakt en te horen krijgt dat er al een account bestaat, moet u zich aanmelden met een ander e-mailadres. Deze aanval is onmogelijk als je verschillende e-mailadressen gebruikt voor al je belangrijkste accounts.
Deze aanval is ook afhankelijk van de gebruiker die niet gebruikt Twee-factorenauthenticatie (2FA). Als je een account aanmaakt en 2FA inschakelt, kan iemand anders met toegang tot het account niet inloggen. 2FA wordt ook aanbevolen voor bescherming tegen andere online bedreigingen zoals phishing en datalekken.
Pre-kaping van een account is gemakkelijk te vermijden
Accountkaping is een veelvoorkomend probleem. Maar pre-kaping van accounts is een nieuwe bedreiging en tot nu toe grotendeels theoretisch. Het is een mogelijkheid wanneer u zich aanmeldt bij veel online services, maar er wordt nog niet aangenomen dat dit regelmatig voorkomt.
Hoewel slachtoffers van deze aanval de toegang tot hun account kunnen verliezen en hun persoonlijke gegevens kunnen worden gestolen, is het ook gemakkelijk te vermijden. Als u zich aanmeldt voor een nieuw account en te horen krijgt dat u er al een heeft, moet u een ander e-mailadres gebruiken.
