logo_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
hammer_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
  • Codici sconto
  • Recensioni
  • Recensione RTX 3090 Ti
  • Come installare Windows 11
  • Recensione RTX 3080 12GB
  • Le migliori VPN del 2022
Software

Gli hacker possono rubare account che non avete ancora creato

Codici sconto
Recensioni
Recensione RTX 3090 Ti
Come installare Windows 11
Recensione RTX 3080 12GB
Le migliori VPN del 2022

Tom's Hardware vive grazie al suo pubblico. Quando compri qualcosa dai nostri link, potremmo guadagnare una commissione. Scopri di più

Software

Gli hacker possono rubare account che non avete ancora creato

di Marco Doria | mercoledì 8 Giugno 2022 15:30
  • 3 min
  • vai ai commenti
Più informazioni su
  • Andrew Paverd
  • Avinash Sudhodanan
  • Dropbox
  • Instagram
  • Linkedin
  • malwarebytes
  • Microsoft
  • pre-hijacking
  • wordpress
  • Zoom
  • Software

Può capitare di subire il furto di un account: una disattenzione, un messaggio di phishing aperto distrattamente, una password troppo facile da indovinare (cosa evitabile con un buon password manager, a proposito). Succede ogni giorno e può capitare a chiunque.

Ma immaginate di creare un account e scoprire subito dopo che era già compromesso. Come sarebbe possibile? Proprio questa possibilità viene presentata da Malwarebytes che, sul proprio blog, spiega come avverrebbe un fenomeno del genere.

Tutto parte da una ricerca di Avinash Sudhodanan e Andrew Paverd di Microsoft, che hanno definito questa tecnica come “attacco pre-hijacking”, a cui nemmeno i siti e i servizi online più frequentati sarebbero immuni.

Questi attacchi potrebbero portare al furto di denaro
Phishing

I cinque attacchi pre-hijacking

I due ricercatori hanno individuato cinque tipi di attacchi di pre-hijacking: il primo è noto come CFM (Classic-Federated Merge) in cui si sfrutta una falla nell’interazione fra gli indirizzi di creazione di un account. Nella fattispecie, sarebbe possibile creare due account con lo stesso indirizzo e-mail, uno normale, aperto dall’utente (noto come percorso “classico”) e uno da parte dell’hacker, una vera è propria identità federata (da qui “percorso federato“). In questo modo entrambi i soggetti possono accedere all’account. Questo tipo di attacco va in porto soprattutto se l’utente usa l’SSO (Single Sign-On) per accedere, dato che la password definita dall’hacker per l’account non viene modificata.

Il secondo attacco è noto come NV (Non-Verifying Identity Provider), che è l’esatto opposto del precedente: l’hacker crea un account tramite l’indirizzo classico, mentre l’utente segue quello federato. Quindi, l’hacker usa un identity provider che non verifica la proprietà dell’indirizzo e-mail. Entrambi i soggetti accederanno normalmente all’account nel caso in cui il sito o il servizio unisca i due account in base all’indirizzo e-mail in modo errato.

La terza tipologia di attacco è nota come UEC (Unexpired Email Change) e prevede lo sfruttamento di una falla per cui il sito o il servizio online non riesca a invalidare la richiesta di cambio di e-mail quando l’utente reimposta la propria password. Dunque, l’hacker crea un account con l’indirizzo e-mail della vittima, quindi invia una richiesta di modifica dell’e-mail senza però confermarla. Quando la vittima reimposta la password, l’hacker procede a convalidare il controllo ottenendo l’accesso e la gestione dell’account.

Il quarto attacco, indicato come US (Unexpired Session), sfrutta un’altra falla, ovvero quando l’utente autenticato non si disconnette da un account attivo dopo la reimpostazione della password. L’hacker mantiene attivo l’account tramite uno script automatico dopo la sua creazione. Anche se l’utente crea un account con lo stesso indirizzo e-mail e poi reimposta la password, l’hacker manterrà l’accesso a tale account.

Infine, il quinto e ultimo attacco è noto come TID (Trojan Identifier) e corrisponde all’uso congiunto degli attacchi CFM e US.

Come funziona un attacco pre-hijacking

Questi cinque attacchi hanno livelli di gravità diversi, ma tutti fanno affidamento sull’incapacità di un sito web di verificare un identificatore fornito dall’utente prima di autorizzare l’uso dell’account.

La verifica, spesso, avviene in maniera asincrona per migliorare l’esperienza d’uso del servizio o del sito, tuttavia, è proprio questo a rendere possibili gli attacchi pre-hijacking.

Nel report, i ricercatori affermano che l’obiettivo degli hacker è accedere all’account della vittima, facendo attenzione a restare invisibili. Le conseguenze di un attacco di questo tipo (che ha lo stesso impatto dei “normali” attacchi account hijacking) possono essere anche gravi, come il furto dell’identità della vittima, l’accesso e la modifica di dati sensibili come numeri di conto corrente, cronologia, messaggi, furto di denaro e molto altro.

Per effettuare un attacco di pre-hijacking, gli hacker devono conoscere almeno un identificatore univoco della vittima, ad esempio un indirizzo e-mail, un numero di telefono o altre informazioni ottenibili ad esempio tramite scraping dei social network.

Tra i brand vulnerabili a questa tipologia di attacchi, i due ricercatori citano Dropbox, Instagram, LinkedIn, WordPress e Zoom.

Come difendersi?

Sebbene il successo di questi attacchi dipenda principalmente dal livello di vulnerabilità dei siti web e dei servizi online colpiti, ci sono comunque delle azioni che si possono compiere per evitare un pre-hijacking.

Gli utenti, innanzitutto, dovrebbero utilizzare un metodo di autenticazione a due fattori o ancora meglio multifattoriale.

I servizi e i siti dovrebbero rafforzare i propri sistemi, ad esempio richiedendo la verifica degli indirizzi e-mail in modo prioritario rispetto a qualsiasi altra funzione del sito/servizio, anche tramite SMS o chiamata. Oppure, in caso di reimpostazione della password, l’utente dovrebbe essere disconnesso da tutte le sessioni attive mentre tutti i token di autenticazione dovrebbero essere invalidati.

Una serie di passaggi ancora più approfondita è disponibile sul blog MSRC di Microsoft.

di Marco Doria |
mercoledì 8 Giugno 2022 15:30
  • 3 min
  • vai ai commenti
Shares
Più informazioni su
  • Andrew Paverd
  • Avinash Sudhodanan
  • Dropbox
  • Instagram
  • Linkedin
  • malwarebytes
  • Microsoft
  • pre-hijacking
  • wordpress
  • Zoom
  • Software

Scarica gratis

l'app di Tom's Hardware
Vuoi ricevere aggiornamenti sui tuoi topics preferiti ogni giorno? Iscriviti alla newsletter
Leggi i commenti
toms_logo_white_footer
  • Privacy
  • Chi siamo
  • Contattaci
  • Feed RSS
  • Codici sconto
Google Play
App Store

3LABS S.R.L. • Via Dante 16 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

Copyright © 2022 - 3Labs Srl. - Tutti i diritti riservati. - credits: logo_edinet


  • Tom's Hardware
  • Game division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLabs
  • More
  • Home
  • Le news di oggi
  • Le news di ieri
  • Le news dell'altro ieri

Ultime news

Ultimo video

Da non perdere su Tom's Hardware
Trucco generico
Makeup e skincare scontati fino al 25% grazie a questi due coupon
Siete alla ricerca di lozioni, cosmetici e fragranze? Non fatevi scappare le numerose offerte disponibili da Douglas!
2 di Valentina Valzania - 11 ore fa
  • Benessere
  • Coupon
  • coupon sconto
  • Offerte Cura della Persona
  • Offerte e Sconti
  • Offerte Trucchi e Profumi
  • Offerte Trucco
  • Salute e benessere
  • trucco
2
Offerta
Mi Band 6
Mi Band 6, la smart band più venduta della rete! -27% su Amazon!
Xiaomi Mi Band 6 è in super sconto su Amazon! Acquistala ora con uno sconto del 27%!
2 di Tom's Hardware - 12 ore fa
  • Mi Band
  • Offerte Amazon
  • Offerte e Sconti
  • Offerte Smart Band
  • smart band
  • Xiaomi Mi Band 6
2
Offerta