ผู้ไม่ประสงค์ดีขโมยบัญชีออนไลน์ได้ ก่อนผู้ใช้จะลงทะเบียนด้วยซ้ำ !!  

นักวิจัยด้านความปลอดภัย พบผู้ไม่ประสงค์ดีสามารถขโมยบัญชีออนไลน์ได้ ก่อนที่ผู้ใช้งานจะลงทะเบียนด้วยซ้ำ โดยใช้ประโยชน์จากช่องโหว่ที่ได้รับการแก้ไขแล้ว ซึ่งวิเคราะห์จากบริการออนไลน์กว่า 75 รายการ เช่น Instagram, LinkedIn, Zoom, WordPress และ Dropbox และพบว่าอย่างน้อย 35 รายการมีความเสี่ยงต่อการโจมตี 

การโจมตีเริ่มโดย ผู้ไม่ประสงค์ดีจำเป็นต้องทราบที่อยู่อีเมลของเป้าหมายก่อน ต่อมาจะสร้างบัญชี 
บนเว็บไซต์ที่มีช่องโหว่โดยใช้ที่อยู่อีเมลของเป้าหมาย ซึ่งการโจมตีนั้นแตกต่างกันในแต่ละเว็บไซต์ ยกตัวอย่างการโจมตีเช่น การโจมตี Session ที่ยังไม่หมดอายุ ผู้ไม่ประสงค์ดีจะทำให้ Session ทำงานต่อไปหลังจากสร้างบัญชี โดยใช้สคริปต์อัตโนมัติ เมื่อเหยื่อสร้างบัญชีและรีเซ็ตรหัสผ่าน Session ที่ใช้งานอยู่อาจไม่ถูกทำให้ใช้งานได้ ดังนั้นผู้โจมตีจะสามารถเข้าถึงบัญชีต่อไปได้ ซึ่ง Session ที่ยังไม่หมดอายุเป็นปัญหาที่พบบ่อยที่สุดในการโจมตีแบบ UEC โดยใช้ที่อยู่อีเมลของเหยื่อ จากนั้นจะส่งคำขอเปลี่ยนรหัสผ่าน หลังจากที่เหยื่อทำการรีเซ็ตรหัสผ่าน ผู้โจมตีจะตรวจสอบการเปลี่ยนแปลง และเข้าควบคุมบัญชี สุดท้ายในการโจมตีแบบ NV ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากการขาดการตรวจสอบความเป็นเจ้าของ IdP เมื่อสร้างบัญชี ซึ่งเป็นการเปิดช่องทางให้ใช้บริการเข้าสู่ระบบบนคลาวด์อย่าง Okta และ Onelogin ในทางที่ผิดได้  

ปัจจุบันบริการจำนวนมากกำหนดให้ผู้ใช้ใหม่ต้องตรวจสอบความเป็นเจ้าของในที่อยู่อีเมล ดังนั้นการสร้างบัญชีใหม่ด้วยที่อยู่อีเมลของบุคคลอื่นจะไม่สำเร็จหากไม่มีการเข้าถึงบัญชีอีเมล เพื่อหลีกเลี่ยงสิ่งนี้ ผู้ไม่ประสงค์ดีสามารถสร้างบัญชีโดยใช้ที่อยู่อีเมล แล้วสลับไปยังที่อยู่อีเมลของเหยื่อ โดยใช้ฟังก์ชันมาตรฐานที่มีอยู่ในบริการออนไลน์ส่วนใหญ่ในทางที่ผิด ในบางกรณีบริการนี้ไม่จำเป็นต้องมีการยืนยันครั้งที่สองสำหรับที่อยู่อีเมลใหม่ ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีได้ 

ตัวอย่างแพลตฟอร์มที่มีช่องโหว่ ได้แก่ Dropbox (UEC), Instagram (TID), LinkedIn (US), WordPress.com (US และ UEC) และ Zoom (CFM และ NV)  

เว็บไซต์ที่มีความเสี่ยง (arxiv.org) 

เหตุผลที่อยู่เบื้องหลังระบบที่มีข้อบกพร่องทั้งหมดคือแพลตฟอร์มการลงทะเบียนออนไลน์ หากต้องการลดความเสี่ยงระหว่างการลงทะเบียนให้มากที่สุดเท่าที่จะเป็นไปได้ ซึ่งส่งผลเสียต่อความปลอดภัยของบัญชี เพื่อจัดการกับความเสี่ยงของบัญชีที่ถูกขโมย ผู้ใช้สามารถตั้งค่า MFA (การตรวจสอบสิทธิ์แบบหลายปัจจัย) ในบัญชีได้ทันที และบังคับให้ Session ก่อนหน้าทั้งหมดนั้นเป็นโมฆะ 

คำแนะนำ 

1. ควรตั้งค่า MFA (การตรวจสอบสิทธิ์แบบหลายปัจจัย) ในบัญชีทันที 

2. ควรอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 

3. ควรแสกนไวรัสอย่างสม่ำเสมอ 

4. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 

Ref: https://www.bleepingcomputer.com/news/security/hackers-can-hack-your-online-accounts-before-you-even-register-them/ 

Share