İyi düşünülmemiş birkaç özellik sayesinde siber suçlular çevrimiçi hesaplara girebilir (yeni sekmede açılır) şifreleri hiç bilmeden internetin en büyük platformlarından bazılarında. Konuyu araştıran araştırmacılara göre bilmeleri gereken tek şey kurbanın e-posta adresi ve bu günümüzde pek sorun değil.
Microsoft Güvenlik Müdahale Merkezi’nden siber güvenlik araştırmacıları, bağımsız araştırmacı Avinash Sudhodanan ile birlikte, temelde orada ilk olarak çevrimiçi hesaplara girmenin bir yolunu buldular.
Saldırıyı başarılı bir şekilde gerçekleştirmenin birkaç yöntemi vardır, ancak işin özü şudur – sıradan insanların terimleriyle: Saldırgan kurbanın e-posta adresini biliyorsa ve bir hizmette kayıtlı bir hesabı olmadığını biliyorsa, onları hesaba katın – e-posta adreslerini kullanarak (ve kurbanın e-posta bildirimini spam olarak reddetmesini umarak).
Tek seferlik
E-posta yoluyla kullanıcı onayı gerektiren hizmetler için bir yakalama vardır – saldırganlar farklı bir e-posta adresiyle bir hesap oluşturabilir ve daha sonra kurbanın adresine geçebilir.
İşte hizmetin özellikleri burada devreye giriyor – bazıları hesap birleştirmeye izin veriyor. Hizmet, kurbanın zaten kayıtlı olan bir e-posta ile bir hesap açmaya çalıştığını görürse, kurbandan şifre sormadan tek bir oturum açma özelliği sunabilir. (yeni sekmede açılır). Kurban oturum açar, saldırgan oturum açmaya devam eder. Parolalar asla değişmez.
Bazı durumlarda, saldırgan, oturumu gerektiği kadar etkin tutmak için otomatik bir komut dosyası da oluşturabilir.
Araştırmacılar bulgularını, çoğu zaten açık olan en büyük sitelerden bazılarıyla zaten açıklamış olsa da, araştırmacılar muhtemelen daha birçok kişinin bu açıklığa sahip olduğu ve yakın zamanda düzeltip düzeltmeyeceklerinin çok büyük olduğu konusunda uyarıyorlar. “belki”.
Saldırıların nasıl çalıştığı ve kullanıcıların tehdidi tespit etmek ve azaltmak için neler yapabilecekleri hakkında daha fazla ayrıntı “Web Kullanıcı Hesaplarına Ön Ele Geçirme Saldırıları (yeni sekmede açılır)Microsoft’un Güvenlik Müdahale ekibi tarafından bu hafta başlarında yayınlanan makale.
Her zamanki gibi, kullanıcılara güvenlik anahtarları kurmaları önerilir (yeni sekmede açılır) ve mümkün olan her yerde diğer çok faktörlü kimlik doğrulama biçimleri.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
