La mayoría de los usuarios de computadoras saben que los delincuentes pueden obtener acceso a sus cuentas en línea, por ejemplo, robando o adivinando la contraseña, mediante phishing u otras formas de ataque.

fuente MSRC de Microsoft

Es posible que muchos no estén al tanto de un nuevo tipo de ataque que está creando cuentas con la dirección de correo electrónico de un usuario antes de que el usuario lo haga. Los actores malintencionados utilizan ataques de secuestro previo de cuentas para preparar las cuentas de los usuarios para adquisiciones completas. El atacante crea cuentas en sitios y servicios utilizando la dirección de correo electrónico de la víctima. Luego se utilizan varias técnicas para «poner la cuenta en un estado presecuestrado». Una vez que una víctima ha recuperado el acceso a la cuenta, después de descubrir durante el registro que ya existe una cuenta con la dirección de correo electrónico de la víctima, se llevan a cabo ataques para apoderarse de la cuenta por completo.

No todos los sitios web y servicios son vulnerables a los ataques previos al secuestro de cuentas, pero el investigador de seguridad Avinash Sudhodanan cree que un número significativo lo es. Sudhodanan publicado el artículo de investigación «Cuentas presecuestradas: un estudio empírico de fallas de seguridad en la creación de cuentas de usuario en la Web» en mayo de 2022 en el que describe cinco tipos de ataques previos al secuestro.

La creación de cuentas en línea ha evolucionado en Internet. Anteriormente, los usuarios usaban un identificador y una contraseña para crear cuentas. Por lo general, estas cuentas estaban vinculadas a la dirección de correo electrónico de un usuario. El método todavía está disponible en Internet, pero los sitios también comenzaron a admitir la autenticación federada, a menudo además de admitir los procesos tradicionales de creación de cuentas.

La autenticación federada, por ejemplo, Single Sign-On, agrega una nueva capa de complejidad al proceso de creación de usuarios, ya que los sitios y servicios a menudo admiten ambas opciones. Empresas como Facebook, Microsoft o Google admiten la autenticación federada y actúan como proveedores de identidad. Usuarios Los usuarios pueden suscribirse a servicios de terceros que admitan el inicio de sesión único y el proveedor de identidad del usuario. Algunos sitios permiten a los usuarios vincular cuentas de usuario clásicas con proveedores de inicio de sesión único, lo que desbloquea la capacidad de iniciar sesión con un nombre de usuario y contraseña, o el proveedor de identidad.

Los sitios web y los servicios tienen un fuerte incentivo para admitir proveedores de identidad según Sudhodanan, ya que «mejora la experiencia de los usuarios». Los usuarios pueden reutilizar cuentas que hayan creado en el pasado en múltiples servicios; esto hace que el proceso de creación de cuenta sea más fácil, más rápido y puede eliminar la necesidad de configurar contraseñas de cuenta. Investigaciones anteriores han demostrado que los proveedores de inicio de sesión único se convierten en objetivos de alto valor para los ataques.

Investigar enfocado sobre las implicaciones de seguridad para las cuentas existentes y menos sobre el proceso de creación de la cuenta en sí hasta este punto.

Ataques previos al secuestro de cuentas

fuente: MSRC de Microsoft

En su investigación, Sudhodanan demuestra que existe toda una clase de ataques previos al secuestro de cuentas. Todos tienen en común que el atacante está realizando acciones en un servicio objetivo antes que la víctima. Ninguno de los cinco tipos de ataques diferentes que Sudhodanan describe en el trabajo de investigación requiere acceso a la cuenta del proveedor de identidad de la víctima.

Los atacantes deben apuntar a los servicios a los que las víctimas probablemente se suscribirán en el futuro. La información adicional, por ejemplo, sobre cuentas o intereses existentes, puede ayudar con la selección de objetivos, pero los atacantes también pueden elegir objetivos por popularidad, tendencias o incluso comunicados de prensa si las organizaciones son el objetivo.

El objetivo de los ataques previos al secuestro de cuentas es el mismo que el de los ataques clásicos de secuestro de cuentas: obtener acceso a la cuenta de la víctima.

Dependiendo de la naturaleza del servicio de destino, un ataque exitoso podría permitirle al atacante leer/modificar información confidencial asociada con la cuenta (por ejemplo, mensajes, extractos de facturación, historial de uso, etc.) o realizar acciones usando la identidad de la víctima (por ejemplo, enviar mensajes falsificados, realizar compras utilizando métodos de pago guardados, etc.)

Un ataque consta de tres fases:

  1. Pre-secuestro — El atacante utiliza las direcciones de correo electrónico de las víctimas para crear cuentas en los servicios de destino. Se requiere el conocimiento de la dirección de correo electrónico para llevar a cabo el ataque.
  2. acción de la víctima — La víctima necesita crear una cuenta en el objetivo o recuperar la cuenta que ya existe.
  3. Ataque de apropiación de cuenta — El atacante intenta apoderarse de la cuenta de usuario en el servicio de destino utilizando diferentes formas de ataque.

Ataque de combinación federado clásico

El ataque explota las debilidades de interacción entre las cuentas clásicas y las cuentas federadas en un solo proveedor. El atacante puede usar la dirección de correo electrónico de la víctima para crear una cuenta en el proveedor; la víctima puede crear una cuenta usando el proveedor federado en lugar de usar la misma dirección de correo electrónico. Dependiendo de cómo el servicio fusione las dos cuentas, podría resultar en que ambas partes tengan acceso a la misma cuenta.

Para que el ataque se lleve a cabo con éxito, se requiere que el servicio de destino admita cuentas clásicas y federadas. Además, las direcciones de correo electrónico deben usarse como identificador único de la cuenta y debe admitirse la fusión de ambos tipos de cuenta.

Una vez que la víctima crea la cuenta utilizando el proveedor federado, el servicio de destino puede fusionar las cuentas. Dependiendo de cómo se haga, puede dar acceso al atacante al servicio de destino utilizando la contraseña especificada.

Ataque de sesión no vencido

Este ataque aprovecha que algunos servicios no cierran la sesión de los usuarios de sus cuentas si se restablece una contraseña. Una víctima puede restablecer la contraseña de una cuenta en un servicio si el servicio le informa a la víctima que ya existe una cuenta.

El ataque funciona si el servicio admite varias sesiones simultáneas y si los usuarios no cierran sesión en las cuentas si se restablecen las contraseñas. El atacante debe permanecer conectado a la cuenta para mantener la sesión activa.

Ataque de identificador troyano

El atacante crea una cuenta en el servicio de destino utilizando la dirección de correo electrónico de la víctima y cualquier contraseña. Una vez hecho esto, se agrega un segundo identificador a la cuenta, por ejemplo, otra dirección de correo electrónico que controla el atacante.

Cuando la víctima restablece las contraseñas, el atacante puede usar el identificador secundario para recuperar el acceso a la cuenta.

Ataque de cambio de correo electrónico no vencido

El ataque explota una vulnerabilidad en el proceso de cambio de correo electrónico de los servicios de destino. El atacante crea una cuenta usando la dirección de correo electrónico de la víctima y cualquier contraseña al principio. Posteriormente, el atacante inicia el proceso de cambio de dirección de correo electrónico de la cuenta; esto lleva a que se envíe un correo electrónico de confirmación a la nueva dirección de correo electrónico.

En lugar de hacer clic en el enlace proporcionado de inmediato, el atacante espera a que la víctima restablezca la contraseña de la cuenta y la recupere. El atacante luego activará el enlace para tomar el control de la cuenta de la víctima.

El ataque funciona solo si el servicio de destino no invalida los enlaces después de un período determinado.

Ataque de IdP sin verificación

El ataque refleja el ataque combinado clásico-federado. El atacante crea una cuenta en un servicio de destino utilizando un proveedor de identidad que «no verifica la propiedad de una dirección de correo electrónico al crear una identidad federada».

La víctima tendría que crear una cuenta clásica en el servicio de destino. Si el servicio combina los dos, el atacante puede acceder a la cuenta.

Palabras de cierre

Sudhodanan examinó 75 sitios de los 150 sitios principales de Alexa para averiguar si son vulnerables a uno o varios de los ataques descritos. Encontró 252 vulnerabilidades potenciales y 56 vulnerabilidades confirmadas durante el análisis. Se descubrió que Dropbox, Instagram, LinkedIn, WordPress.com y Zoom eran vulnerables a uno de los ataques descritos.

El trabajo de investigación es accesible. aquí.

Ahora tu: ¿Qué haces con los correos electrónicos de creación de cuentas para cuentas que no iniciaste?

Por Deyanira