オンラインアカウントを作成する前でも、ハッカーがオンラインアカウントを乗っ取る方法を学ぶ from thehackernews.com
security summary
この攻撃は、Webサイトやその他のオンラインプラットフォームに遍在するアカウント作成プロセスを狙っており、疑いを持たない被害者がターゲットサービスにアカウントを作成する前に、攻撃者が一連のアクションを実行できるようにします。
攻撃は、攻撃者と被害者の両方によるアカウント作成中に同じ電子メールアドレスを使用するなど、5つの異なる方法で実行され、2者にアカウントへの同時アクセスを許可する可能性があります。
ハイジャック前の攻撃の結果は、アカウントのハイジャックの結果と同じであり、サービスの性質によっては、攻撃者が知らないうちに被害者の機密情報に密かにアクセスしたり、個人になりすましたりする可能性があります。
「攻撃者がアカウントを作成する前に、攻撃者が被害者の電子メールアドレスを使用してターゲットサービスでアカウントを作成できる場合、攻撃者はさまざまな手法を使用して、アカウントをハイジャック前の状態にする可能性があります」と研究者は述べています。
ユーザーが同じ電子メールアドレスを使用してアカウントを回復した場合、パスワードのリセットによって攻撃者のセッションが終了しなかったため、攻撃者は引き続きアクセスを維持します。
攻撃者は、非検証IdPを使用してターゲットサービスでアカウントを作成します。
コメント