O sequestro de conta é o ato de assumir o controle da conta de outra pessoa. Geralmente é realizado na esperança de roubar informações pessoais, se passar pela vítima ou chantageá-la. O sequestro de contas é um problema comum, mas não é fácil de executar. Para ter sucesso, o invasor obviamente precisa descobrir a senha da vítima.
Pesquisadores descobriram um novo tipo de ataque conhecido como pré-sequestro de conta. Envolve contas que ainda não foram criadas e permite que os invasores atinjam o mesmo objetivo sem acesso a uma senha.
Então, o que é o pré-sequestro de conta e como você pode se proteger dele?
O que é o pré-sequestro de conta?
O pré-sequestro de contas é um novo tipo de ataque cibernético. O invasor cria uma conta em um serviço popular usando o endereço de e-mail de outra pessoa.
Quando a vítima tenta criar uma conta usando o mesmo endereço de e-mail, o invasor mantém o controle da conta. Qualquer informação fornecida pela vítima é então acessível ao invasor, e ele pode assumir o controle exclusivo da conta posteriormente.
Como funciona o pré-sequestro de conta?
Para realizar o pré-sequestro, o invasor primeiro precisa acessar um endereço de e-mail. Estes estão amplamente disponíveis na dark web. Quando um ocorre violação de dados, grandes lotes de endereços de e-mail geralmente são publicados como despejos de dados.
O invasor cria uma conta em um serviço popular que o proprietário do endereço de e-mail ainda não usou. Esse ataque é possível em muitos grandes provedores de serviços, portanto, prever que as vítimas em algum momento desejarão essa conta não é necessariamente difícil.
Tudo isso é feito em massa, na esperança de que um certo número de ataques seja bem-sucedido.
Quando a vítima tentar criar uma conta no serviço visado, ela será informada de que já possui uma conta e será solicitada a redefinir sua senha. Muitas vítimas irão redefinir sua senha assumindo que é um erro.
O invasor será notificado da nova conta e poderá manter o acesso a ela.
O mecanismo específico pelo qual esse ataque ocorre varia, mas existem cinco tipos distintos.
Ataque de mesclagem clássico federado
Muitas plataformas online oferecem a opção de fazer login usando uma identidade federada, como sua conta do Gmail, ou criar uma nova conta usando seu endereço do Gmail. Se o invasor se inscrever usando seu endereço do Gmail e você fizer login usando sua conta do Gmail, é possível que ambos tenham acesso à mesma conta.
Ataque de identificador de sessão não expirado
O invasor cria uma conta usando o endereço de e-mail da vítima e mantém uma sessão ativa. Quando a vítima cria uma conta e redefine sua senha, o invasor mantém o controle da conta porque a plataforma não a desconectou de sua sessão ativa.
Ataque de identificador de trojan
O invasor cria uma conta e adiciona mais uma opção de recuperação de conta. Pode ser outro endereço de e-mail ou um número de telefone. A vítima pode redefinir a senha da conta, mas o invasor ainda pode usar a opção de recuperação de conta para controlá-la.
Ataque de alteração de e-mail não expirado
O invasor cria uma conta e inicia uma alteração de endereço de e-mail. Eles recebem um link para alterar o endereço de e-mail da conta, mas não concluem o processo. A vítima pode redefinir a senha da conta, mas isso não necessariamente desativa o link que o invasor recebeu. O invasor pode usar o link para assumir o controle da conta.
Ataque de provedor de identidade sem verificação
O invasor cria uma conta usando um provedor de identidade que não verifica endereços de email. Quando a vítima se inscreve usando o mesmo endereço de e-mail, é possível que ambos tenham acesso à mesma conta.
Como é possível o pré-sequestro de conta?
Se um invasor se inscrever em uma conta usando seu endereço de e-mail, ele geralmente será solicitado a verificar o endereço de e-mail. Supondo que eles não tenham hackeado sua conta de e-mail, isso não será possível.
O problema é que muitos provedores de serviços permitem que os usuários mantenham a conta aberta com funcionalidade limitada antes que o e-mail seja verificado. Isso permite que os invasores preparem uma conta para esse ataque sem verificação.
Quais plataformas são vulneráveis?
Pesquisadores testaram 75 plataformas diferentes do top 150 de acordo com Alexa. Eles descobriram que 35 dessas plataformas eram potencialmente vulneráveis. Isso inclui grandes nomes como LinkedIn, Instagram, WordPress e Dropbox.
Todas as empresas identificadas como vulneráveis foram informadas pelos pesquisadores. Mas não se sabe se foram tomadas medidas suficientes para evitar esses ataques.
O que acontece com a vítima?
Se você cair nesse ataque, qualquer informação que você fornecer estará acessível ao invasor. Dependendo do tipo de conta, isso pode incluir informações pessoais. Se esse ataque for realizado contra um provedor de e-mail, o invasor poderá tentar se passar por você. Se a conta for valiosa, ela também poderá ser roubada e poderá ser solicitado um resgate por sua devolução.
Como se proteger contra o pré-sequestro de conta
A principal proteção contra essa ameaça é saber que ela existe.
Se você configurar uma conta e for informado de que uma conta já existe, você deve se inscrever com um endereço de e-mail diferente. Este ataque é impossível se você usar endereços de e-mail diferentes para todas as suas contas mais importantes.
Este ataque também depende do usuário não usar Autenticação de dois fatores (2FA). Se você configurar uma conta e ativar o 2FA, qualquer outra pessoa com acesso à conta não poderá fazer login. 2FA também é recomendado para proteção contra outras ameaças online como phishing e violações de dados.
O pré-sequestro de conta é fácil de evitar
O sequestro de contas é um problema comum. Mas o pré-sequestro de contas é uma nova ameaça e, até agora, amplamente teórica. É uma possibilidade ao se inscrever em muitos serviços online, mas ainda não se acredita que seja uma ocorrência regular.
Embora as vítimas desse ataque possam perder o acesso à conta e ter suas informações pessoais roubadas, também é fácil evitar. Se você se inscrever em uma nova conta e for informado de que já possui uma, deverá usar um endereço de e-mail diferente.
