بفضل بعض الميزات التي لم يتم التفكير فيها جيدًا، يمكن لمجرمي الإنترنت اقتحام حسابات عبر الإنترنت (يفتح في علامة تبويب جديدة) على بعض أكبر الأنظمة الأساسية للإنترنت، دون معرفة كلمات المرور مطلقًا. كل ما يحتاجون إلى معرفته، وفقًا للباحثين الذين يحققون في الأمر، هو عنوان البريد الإلكتروني للضحية، وهذه ليست مشكلة في هذه الأيام.
وجد باحثو الأمن السيبراني من Microsoft Security Response Center، جنبًا إلى جنب مع الباحث المستقل Avinash Sudhodanan، طريقة لاقتحام الحسابات عبر الإنترنت، بشكل أساسي من خلال كونهم أولهم هناك.
هناك طريقتان لإجراء الهجوم بنجاح، ولكن هذا هو جوهرها- بعبارات الشخص العادي: إذا كان المهاجم يعرف عنوان البريد الإلكتروني للضحية، ويعرف أنه ليس لديه حساب مسجل في إحدى الخدمات، فيمكنه إنشاء حساب لهم- باستخدام عنوان بريدهم الإلكتروني (على أمل أن تتجاهل الضحية إشعار البريد الإلكتروني باعتباره بريدًا عشوائيًا).
علامة واحدة على Single sign-on
بالنسبة للخدمات التي تتطلب تأكيد المستخدم عبر البريد الإلكتروني، هناك مشكلة- يمكن للمهاجمين إنشاء حساب بعنوان بريد إلكتروني مختلف، ثم التبديل إلى عنوان الضحية لاحقًا.
هنا يأتي دور ميزات الخدمة- يسمح بعضها بدمج الحسابات. إذا رأت الخدمة أن الضحية تحاول تسجيل حساب ببريد إلكتروني مسجل بالفعل، فقد تقدم ميزة تسجيل دخول واحدة، دون مطالبة الضحية بكلمة المرور على الإطلاق (يفتح في علامة تبويب جديدة). تقوم الضحية بتسجيل الدخول، ويظل المهاجم مسجلاً الدخول. لا يتم تغيير كلمات المرور مطلقًا.
في بعض الحالات، يمكن للمهاجم أيضًا إنشاء برنامج نصي آلي للحفاظ على الجلسة نشطة لأطول فترة ممكنة.
بينما كشف الباحثون بالفعل عن النتائج التي توصلوا إليها مع بعض من أكبر المواقع، والتي قام معظمها بسد الثغرة بالفعل، يحذر الباحثون من أن العديد من الأشخاص ربما لديهم هذه الثغرة، وما إذا كانوا سيصلحونها في أي وقت قريب أم لا يعد أمرًا كبيرًا جدًا. "يمكن".
يمكن العثور على مزيد من التفاصيل حول كيفية عمل الهجمات، وما يمكن للمستخدمين القيام به لاكتشاف التهديد والتخفيف من حدته، في ورقة "هجمات ما قبل الاختطاف على حسابات مستخدمي الويب (تفتح في علامة تبويب جديدة)"، التي نشرها فريق Microsoft Security Response.، في وقت سابق من هذا الأسبوع.
كالعادة، يُنصح المستخدمون بإعداد مفاتيح أمان (تفتح في علامة تبويب جديدة) وأشكال أخرى من المصادقة متعددة العوامل حيثما أمكن ذلك.
وجد باحثو الأمن السيبراني من Microsoft Security Response Center، جنبًا إلى جنب مع الباحث المستقل Avinash Sudhodanan، طريقة لاقتحام الحسابات عبر الإنترنت، بشكل أساسي من خلال كونهم أولهم هناك.
هناك طريقتان لإجراء الهجوم بنجاح، ولكن هذا هو جوهرها- بعبارات الشخص العادي: إذا كان المهاجم يعرف عنوان البريد الإلكتروني للضحية، ويعرف أنه ليس لديه حساب مسجل في إحدى الخدمات، فيمكنه إنشاء حساب لهم- باستخدام عنوان بريدهم الإلكتروني (على أمل أن تتجاهل الضحية إشعار البريد الإلكتروني باعتباره بريدًا عشوائيًا).
علامة واحدة على Single sign-on
بالنسبة للخدمات التي تتطلب تأكيد المستخدم عبر البريد الإلكتروني، هناك مشكلة- يمكن للمهاجمين إنشاء حساب بعنوان بريد إلكتروني مختلف، ثم التبديل إلى عنوان الضحية لاحقًا.
هنا يأتي دور ميزات الخدمة- يسمح بعضها بدمج الحسابات. إذا رأت الخدمة أن الضحية تحاول تسجيل حساب ببريد إلكتروني مسجل بالفعل، فقد تقدم ميزة تسجيل دخول واحدة، دون مطالبة الضحية بكلمة المرور على الإطلاق (يفتح في علامة تبويب جديدة). تقوم الضحية بتسجيل الدخول، ويظل المهاجم مسجلاً الدخول. لا يتم تغيير كلمات المرور مطلقًا.
في بعض الحالات، يمكن للمهاجم أيضًا إنشاء برنامج نصي آلي للحفاظ على الجلسة نشطة لأطول فترة ممكنة.
بينما كشف الباحثون بالفعل عن النتائج التي توصلوا إليها مع بعض من أكبر المواقع، والتي قام معظمها بسد الثغرة بالفعل، يحذر الباحثون من أن العديد من الأشخاص ربما لديهم هذه الثغرة، وما إذا كانوا سيصلحونها في أي وقت قريب أم لا يعد أمرًا كبيرًا جدًا. "يمكن".
يمكن العثور على مزيد من التفاصيل حول كيفية عمل الهجمات، وما يمكن للمستخدمين القيام به لاكتشاف التهديد والتخفيف من حدته، في ورقة "هجمات ما قبل الاختطاف على حسابات مستخدمي الويب (تفتح في علامة تبويب جديدة)"، التي نشرها فريق Microsoft Security Response.، في وقت سابق من هذا الأسبوع.
كالعادة، يُنصح المستخدمون بإعداد مفاتيح أمان (تفتح في علامة تبويب جديدة) وأشكال أخرى من المصادقة متعددة العوامل حيثما أمكن ذلك.