خلص باحثو الأمن السيبراني إلى أن الهكرز قادرون على اختطاف الحسابات حتى قبل تسجيلها ، مستفيدين من الأخطاء التي تم تصحيحها بالفعل في مواقع الويب الشهيرة ، مثل Instagram أو LinkedIn أو Zoom أو WordPress أو Dropbox.
يبدو الأمر جنونيًا ، لكنه صحيح تمامًا. كان أندرو بافيرد ، الباحث في مركز الاستجابة الأمنية لشركة مايكروسوفت ، وأفيناش سودودانان ، الباحث الأمني المستقل ، مسؤولين عن هذا المشروع الكاشفي.على وجه التحديد ، قاموا بتحليل 75 خدمة معروفة على الإنترنت واكتشفوا أن 35 منها على الأقل معرضة لهجمات الاختطاف السابقة للحساب.
"إن تأثير هجمات الاختراق المسبق للحساب هو نفس تأثير سرقة الحساب. اعتمادًا على طبيعة الخدمة المستهدفة ، قد يسمح الهجوم الناجح للمهاجم بقراءة / تعديل المعلومات الحساسة المرتبطة بالحساب (على سبيل المثال ، الرسائل وكشوف الفواتير ، تاريخ الاستخدام ، وما إلى ذلك) أو تنفيذ إجراءات باستخدام هوية الضحية ، " يقول الباحثون.
الآن ، كيف يعمل هذا الحجز المسبق لجميع بياناتنا ؟ بادئ ذي بدء ، لكي يكون هذا ممكنًا ، يحتاج المتسلل إلى عنوان البريد الإلكتروني للمستخدم ، وهو أمر واضح ومباشر. لدينا جميعًا بريد إلكتروني لأي شخص تقريبًا تحت تصرفنا.
ثم ينشئ المهاجم حسابًا على موقع ضعيف (واحد من 35 موقعًا اكتشفوه ، على سبيل المثال) باستخدام عنوان البريد الإلكتروني للهدف ويأملون أن يرفض الضحية الإشعار الذي يصل إلى صندوق الوارد الخاص بهم ، معتبراً أنه بريد عشوائي. هنا يقامون بالفعل بمطاردتك.
أخيرًا ، ينتظر المهاجم أن ينشئ الضحية حسابًا على الموقع أو يخدعوه بشكل غير مباشر للقيام بذلك.
بعض الأمثلة البارزة للمنصات الضعيفة هي Dropbox و Instagram و LinkedIn و Wordpress.com و Zoom. أبلغ الباحثون بشكل مسؤول هذه المشكلات للمنصات ، والتي تم إصلاحها في كثير منها بعد تصنيفها على أنها عالية الخطورة.
المشكلة التي نواجهها في مثل هذه التطبيقات المعروفة والمستخدمة على نطاق واسع هي أن جميع المنصات عبر الإنترنت ترغب في تقليل المتاعب أثناء التسجيل ، مما يؤثر سلبًا على أمان الحساب.
لمواجهة مخاطر الحسابات المخترقة مسبقًا ، يمكن للمستخدمين إعداد MFA (المصادقة متعددة العوامل) على حساباتهم على الفور.
from حوحو للمعلوميات https://ift.tt/5gY2Q6I
محول الأكوادإخفاء محول الأكواد الإبتساماتإخفاء الإبتسامات