Két kiberbiztonsági kutató, Avinash Sudhodanan és a Microsoft vezető kutatója, Andrew Paverd olyan feltörési technikákra bukkantak, melyekkel a hackerek már jóval azelőtt hozzáférhetnek az áldozat profiljaihoz, mielőtt a felhasználónak egyáltalán eszébe jutna regisztrálni. A kutatók 75 népszerű szolgáltatást vizsgáltak meg a sebezhetőséggel, és megdöbbenésükre majdnem a felénél működött a dolog.

A módszernek elvileg ötfajta variánsa létezik, egy azonban mindegyikben közös: a potenciális áldozat email címét előbb meg kell szerezni, majd be kell vele regisztrálni egy választott szolgáltatásra. Itt jön a képbe egy kevéske szerencsefaktor, ezután ugyanis a támadók csak remélhetik, hogy a visszaigazoló üzenet az áldozat spam mappájában köt ki, amit így nem vesz észre, vagy adathalászatnak hisz – már csak azért is, mert ő sosem regisztrált az adott oldalra.

Ha minden a negatív forgatókönyv szerint történik, akkor a támadónak már csak annyi a feladata, hogy létrehozzon egy másik profilt, amit hitelesít, majd megváltoztatja annak az email címét az áldozatéra, amit így már nem kell visszaigazolni.

Ezután jönnek képbe a sebezhetőséggel rendelkező szolgáltatás egyéb funkciói, mint például a fiókok összevonása. Ha a szolgáltatás látja, hogy az áldozat egy már regisztrált email címmel próbál fiókot regisztrálni, akkor felajánlhat egy egyszeri bejelentkezési funkciót, anélkül, hogy az áldozatot jelszóra kérné. Az áldozat bejelentkezik, a támadó pedig bejelentkezve maradhat.

Egy másik forgatókönyben a hacker hasonló módon létrehozhat egy fiókot az áldozat email címével, majd egy szkript segítségével az elindított munkamenetet korlátlan ideig aktívan tartja, ami bejelentkezve tarthatja akkor is, ha esetleg megpróbálnák visszaállítani a jelszót. Erre lehet egy másik alternatíva a trójai azonosítás, ami az előre létrehozott profilokhoz adott extra azonosításokat jelenti, mint például egy plusz email cím vagy egy telefonszám, melyek segítségével később könnyen el tudja téríteni a profilt.

A kutatók megállapításai persze nagyon spekulatívok, hiszen semmi garancia nincsen arra, hogy a potenciális áldozat valaha be fog regisztrálni az érintett szolgáltatásokba. Ekkor viszont a hackerek megpróbálhatják afelé terelni az illetőt, hogy ez eszébe jusson, ami ha sikerül, akkor akár más szenzitív információkhoz is hozzáférhetnek.

A szakemberek azt is kiemelik, hogy néhány nagyobb oldalt már értesítettek a kiskapuról, amit elméletileg már befoltoztak, ugyanakkor számos oldalt és szolgáltatást lehet ilyen módszerekkel kicselezni. A felhasználóknak ezért azt tanácsolják, hogy ahol csak lehetséges, állítsanak be biztonsági kulcsokat és használják a többfaktoros hitelesítést is.

Nem menő az IT-szakma? – Csökkent az IT-szakokra jelentkezők száma, informatikushiány van