日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

帳戶劫持（Account hijacking）是控制他人賬戶的行為，目的通常是竊取個人信息、冒充或勒索受害者。賬戶劫持作為一種常見的攻擊類型，執(zhí)行起來卻并不容易，為了成功實(shí)施攻擊，攻擊者必須提前弄清楚受害者的密碼。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：主機(jī)域名、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、云南網(wǎng)站維護(hù)、網(wǎng)站推廣。

不過，研究人員已經(jīng)發(fā)現(xiàn)了一種稱為“帳戶預(yù)劫持”（Pre-Hijacking）的新型攻擊。它涉及到利用尚未創(chuàng)建的帳戶，并允許攻擊者在不訪問密碼的情況下實(shí)現(xiàn)相同的目標(biāo)。

那么究竟什么是帳戶預(yù)劫持，以及如何免受此類劫持的影響呢？

帳戶預(yù)劫持概念

帳戶預(yù)劫持是一種新型的網(wǎng)絡(luò)攻擊。攻擊者需要使用其他人的電子郵件地址在流行服務(wù)上創(chuàng)建一個帳戶。

當(dāng)受害者嘗試使用相同的電子郵件地址去創(chuàng)建帳戶時，攻擊者就擁有并保留了對該帳戶的控制權(quán)。然后，攻擊者就可以訪問受害者提供的任何信息。而且，他們會在之后的一段時間，持續(xù)獨(dú)占對該帳戶的控制權(quán)。

帳戶預(yù)劫持的運(yùn)行方式

為了進(jìn)行預(yù)劫持，攻擊者首先需要訪問一個電子郵件地址。而這些地址信息遍布暗網(wǎng)，例如，當(dāng)發(fā)生數(shù)據(jù)泄露時，就會出現(xiàn)大量電子郵件地址被轉(zhuǎn)儲到暗網(wǎng)中。

然后，攻擊者會在該電子郵件地址所有者尚未使用的流行服務(wù)上創(chuàng)建一個賬戶。鑒于許多大型服務(wù)提供商通常會提供廣泛的服務(wù)棧，因此預(yù)測受害者會在某個時刻注冊這樣的賬戶并不困難。而且，這些活動通常是批量進(jìn)行的，旨在提高成功率。

當(dāng)受害者試圖用電子郵件地址在目標(biāo)服務(wù)上創(chuàng)建一個帳戶時，他們就會被告知該帳戶已存在，并會被要求重置他們的密碼。而大多數(shù)受害者會質(zhì)疑自身確實(shí)已經(jīng)注冊過賬戶，并按照要求重置他們的密碼。

隨后，攻擊者將會收到新帳戶密碼的更新通知，并持續(xù)保留對該賬戶的訪問權(quán)限。

這種攻擊發(fā)生的具體機(jī)制各不相同，但主要分為五種不同的類型。

帳戶預(yù)劫持主要類型

(1) 經(jīng)典聯(lián)合歸并（Classic-Federated Merge）攻擊

如今，許多在線平臺都會讓您選擇聯(lián)合身份（例如，您的Gmail帳戶）登錄，或使用您的Gmail地址來創(chuàng)建新帳戶。如此一來，如果攻擊者使用您的Gmail地址注冊了賬戶，那么在您使用Gmail帳戶登錄時，就可能訪問到同一個帳戶內(nèi)，進(jìn)而遭受賬戶預(yù)劫持攻擊。

(2) 未過期的會話標(biāo)識符（Unexpired Session Identifier）攻擊

攻擊者使用受害者的電子郵件地址創(chuàng)建一個帳戶，并持續(xù)保持一個活躍的會話。當(dāng)受害者創(chuàng)建一個帳戶并重置他們的密碼時，由于平臺并未將原先的攻擊者從活躍會話中注銷，因此攻擊者仍保留對該帳戶的控制權(quán)。

(3) 木馬標(biāo)識符（Trojan Identifier）攻擊

攻擊者創(chuàng)建了一個帳戶并添加進(jìn)一步的賬戶恢復(fù)選項，這可能是另一個電子郵件地址或電話號碼。如此一來，即便受害者可以重置該帳戶的密碼，但攻擊者仍然可以使用帳戶恢復(fù)選項來控制它。

(4) 未過期的電子郵件更改（Unexpired Email Change）攻擊

攻擊者創(chuàng)建一個帳戶并啟動電子郵件地址的更改請求。這樣，他們會收到一個鏈接，用于更改帳戶的電子郵件地址，但他們并沒有完成該過程。受害者可以重置該帳戶的密碼，但這并不一定會使攻擊者之前收到的鏈接失效。然后，攻擊者仍可使用該鏈接來控制該帳戶。

(5) 非驗證身份提供商（Non-Verifying Identity Provider）攻擊

攻擊者使用無需郵件地址身份驗證的提供商來創(chuàng)建帳戶。當(dāng)受害者使用相同的電子郵件地址注冊時，他們可能都可以訪問同一個帳戶。

帳戶預(yù)劫持的可能性

正常情況下，如果攻擊者使用您的電子郵件地址注冊新帳戶，通常會被要求去驗證電子郵件的地址。假設(shè)他們沒有入侵您的電子郵件賬戶，這幾乎是不可能的。

不過，問題就在于，許多服務(wù)提供商會允許用戶在驗證電子郵件之前，以有限的功能開啟和訪問帳戶。這就為攻擊者提供了可乘之機(jī)，允許他們在無需驗證的情況下為此類攻擊準(zhǔn)備好一個帳戶。

易受攻擊的“重災(zāi)”平臺

Alexa公司研究人員針對全球排名前150的75個不同類型平臺進(jìn)行了測試，結(jié)果發(fā)現(xiàn)，其中35個平臺存在潛在漏洞。這些平臺包括LinkedIn、Instagram、WordPress以及Dropbox等知名品牌。

雖然研究人員已經(jīng)通知了所有存在潛在漏洞的公司，但目前尚不清楚他們是否已采取足夠的措施來防范此類攻擊。

攻擊對受害者的危害

如果您受到此類攻擊，攻擊者將可以訪問到您提供的任何信息。根據(jù)具體的帳戶類型，這可能涉及個人隱私信息。如果攻擊者針對電子郵件提供商執(zhí)行此類攻擊，那么他們甚至可能會試圖冒充您。如果您的賬戶極具價值，它也可能會被盜，并要求您支付贖金來贖回該賬戶。

帳戶預(yù)劫持防御策略

針對這種威脅的主要保護(hù)措施是明確它的存在。

如果您設(shè)置了一個帳戶，并被告知該帳戶已經(jīng)存在，那么您應(yīng)該使用不同的電子郵件地址去進(jìn)行注冊。如果您為所有最重要的帳戶使用不同的電子郵件地址，那么這種攻擊既幾乎是不可能的。

在一定程度上，這種攻擊的成功還得益于用戶不使用雙因素身份驗證（2FA）。如果您在設(shè)置帳戶時啟用雙因素身份驗證，那么其他有權(quán)訪問該賬戶的人將無法登錄。當(dāng)然，雙因素身份驗證還可用于防范其他在線威脅，例如網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露等。

賬戶預(yù)劫持很容易避免

帳戶劫持是一種常見威脅，但帳戶預(yù)劫持卻是一種新型威脅，到目前為止，還主要是理論上的。在注冊許多在線服務(wù)時可能會出現(xiàn)這種情況，但目前還沒有被認(rèn)定為經(jīng)常發(fā)生的情況。

雖然此類攻擊的受害者可能會喪失帳戶訪問權(quán)限并造成個人信息泄露，但它同時也很容易避免。如果您注冊了一個新帳戶并被告知賬戶已存在，請記住務(wù)必使用不同的電子郵件地址完成注冊。同時，踐行帳戶安全實(shí)踐來防范和規(guī)避此類攻擊。

本文翻譯自：https://www.makeuseof.com/what-is-account-pre-hijacking/

本文題目：一文了解“賬號預(yù)劫持”（accountpre-hijacking
分享URL：http://www.5511xx.com/article/dpcshjo.html