В недавнем отчете Microsoft Security Response Center описаны пять способов взлома таких учетных записей. Все их объединяет одна черта: «Злоумышленник выполняет какое-либо действие до того, как жертва создаст аккаунт на нужной платформе».
Исследователи проанализировали 75 онлайн-сервисов и обнаружили, что как минимум 35 из них, включая Instagram, LinkedIn, Wordpress, Dropbox и Zoom, можно взломать таким образом.
Организациям сообщили о дефектах безопасности, причем «крупный сервис для видеоконференций» уже признал результаты исследования. У компаний есть 90 дней, чтобы устранить ошибки, затем Microsoft опубликует отчет.
В четверг авторы исследования Эндрю Паверд и Авинаш Судходанан рассказали OCCRP, что хотели «повысить осведомленность о возможных уязвимостях и помочь организациям и отдельным лицам защититься от них».
Процесс «предварительного взлома» происходит в три этапа. Сначала преступник создает учетную запись на онлайн-платформе, используя персональные данные жертвы — обычно это адрес электронной почты или номер телефона, полученные в результате утечки данных на другом сайте.
Затем злоумышленник обманом заставляет жертву использовать эти данные для регистрации или входа в систему либо просто ждет, пока жертва сама это сделает. Взлом происходит, когда преступник получает эксклюзивный доступ к новой учетной записи жертвы, или же он может пользоваться аккаунтом одновременно с пользователем.
В отчете сказано, что киберпреступникам важно знать, на каких сайтах их жертвы могут зарегистрироваться в будущем. Исследователи считают, что подобные преступления могут участиться: масштабные атаки не требуют точного профилирования, поскольку так или иначе некоторые люди или организации все равно станут жертвами взлома.
В 2018 году исследование Мэрилендского университета показало, что в мире примерно каждые 39 секунд происходит кибератака. В прошлом году американский сетевой оператор Verizon сообщил, что более 80 процентов таких атак совершают ради денег, а по оценкам технического конгломерата Cisco, более половины мелких предприятий прекращают работу в течение полугода после кибератаки.
Паверд и Судходанан рекомендуют пользователям включать многофакторную аутентификацию, такую как двухэтапная проверка, поскольку это лучшая защита от предварительного взлома.