Исследователи безопасности обнаружили, что хакеры могут взломать ваши онлайн-аккаунты еще до того, как вы их зарегистрируете, используя уязвимости, которые уже были исправлены на популярных веб-сайтах, включая Instagram, LinkedIn, Zoom, WordPress и Dropbox.
Эндрю Паверд, исследователь из Microsoft Security Response Center, и Авинаш Судходанан, независимый исследователь безопасности, проанализировали 75 популярных онлайн-сервисов и обнаружили, что по меньшей мере 35 из них уязвимы для атак с предварительным взломом учетной записи.
Эти атаки различаются по типу и серьезности, но все они связаны с плохой практикой безопасности на стороне самих веб-сайтов.
Поскольку на некоторых уязвимых веб-сайтах работают программы вознаграждения за обнаружение ошибок, удивительно и тревожно видеть, что такие элементарные атаки все еще возможны против их пользователей.
Чтобы атака перед захватом сработала, хакеру необходимо знать адрес электронной почты цели, что относительно легко сделать с помощью переписки по электронной почте или с помощью многочисленных утечек данных, которые ежедневно преследуют компании.
Затем злоумышленник создает учетную запись на уязвимом сайте, используя адрес электронной почты жертвы, и надеется, что жертва отклонит уведомление, пришедшее в ее почтовый ящик, посчитав его спамом. Наконец, злоумышленник ждет, пока жертва создаст учетную запись на сайте, или косвенным образом заставляет ее это сделать.
Во время этого процесса злоумышленники могут проводить разные виды атак, похищая приватные данные, пока жертва не в курсе.