2022/05/23

Hackers usam contas pré-registadas para enganar vítimas

Criar uma conta num site pode deixar o utilizador imediatamente em risco, desde antes de ter feito o registo.

Não há limites para a imaginação e técnicas utilizadas por atacantes para se apoderarem das contas das vítimas, incluindo fazer o pré-registo das mesmas. Serviços como o Instagram, LinkedIn, Zoom, WordPress, e Dropbox eram vulneráveis a este tipo de ataques via pré-registo das contas.

Este ataque é feito com o atacante a iniciar o registo num serviço usando o email da vítima, e depois explorando diversas vulnerabilidades que lhe podem dar acesso à conta quando a vítima efectivamente fizer / concluir o registo. O processo ficará "encravado", já que o atacante não tem acesso ao email da vítima para confirmar o endereço de email (embora, inacreditavelmente, ainda existam serviços que não fazem a confirmação do endereço de email!), mas existem diversas técnicas que podem ser usadas e que podem permitir que a pessoa que iniciou o registo - o atacante - possa ter acesso à conta depois da vítima concluir o registo.
Noutra variante, o atacante pode iniciar o registo num serviço usando um endereço de email sob seu controlo, e depois efectuar um pedido de mudança de email para o endereço de email da vítima; abrindo as portas ao mesmo tipo de ataque, e tirando partido adicional de alguns serviços também não fazerem a validação quando se trata de trocar o endereço de email.

Muitas destas falhas surgem pelo desejo dos sites facilitarem o processo de registo e de login nos seus serviços, para cativarem o maior número possível de utilizadores; mas não há desculpa para que esse facilitismo chegue ao ponto de facilitar a vida aos atacantes à custa dos utilizadores legítimos.

É também preocupante ver que estas vulnerabilidades afectavam sites bastante populares, o que garantidamente significa que haverá muitos outros sites, menos populares, que também deverão sofrer de falhas idênticas. Ter cuidado redobrado se receberem emails a pedir a confirmação de registos em serviços que não tenham sido iniciadas pelo próprio; e optar por métodos de autenticação multi-factor sempre que possível, e também forçar o encerramento de todas as sessões activas, se o serviço der essa opção.

Sem comentários:

Enviar um comentário (problemas a comentar?)