Çoğu bilgisayar kullanıcısı, suçluların, örneğin parolayı çalarak veya tahmin ederek, kimlik avı veya diğer saldırı biçimleri yoluyla çevrimiçi hesaplarına erişebileceğinin farkındadır.
Birçoğu, kullanıcı bunu yapmadan önce bir kullanıcının e-posta adresiyle hesap oluşturan yeni bir saldırı türünün farkında olmayabilir. Kötü niyetli aktörler, kullanıcı hesaplarını tam devralmaya hazırlamak için hesap ele geçirme öncesi saldırılarını kullanır. Saldırgan, kurbanın e-posta adresini kullanarak sitelerde ve hizmetlerde hesaplar oluşturur. Daha sonra “hesabı ele geçirilmiş bir duruma getirmek” için çeşitli teknikler kullanılır. Mağdur hesaba erişimi kurtardıktan sonra, kayıt sırasında mağdurun e-posta adresine sahip bir hesabın zaten mevcut olduğunu öğrendikten sonra, hesabı tamamen ele geçirmek için saldırılar gerçekleştirilir.
Tüm web siteleri ve hizmetler, hesap ele geçirme öncesi saldırılara karşı savunmasız değildir, ancak güvenlik araştırmacısı Avinash Sudhodanan, önemli bir sayının olduğuna inanıyor. Sudhodanan, Mayıs 2022’de, ele geçirme öncesi beş saldırıyı açıkladığı “Önceden ele geçirilmiş hesaplar: Web’de Kullanıcı Hesabı Oluşturmada Güvenlik Başarısızlıklarının Ampirik Bir Çalışması” adlı araştırma makalesini yayınladı.
Çevrimiçi hesapların oluşturulması İnternette gelişmiştir. Önceden, kullanıcılar hesap oluşturmak için bir tanımlayıcı şifre kullanıyordu. Bu hesaplar genellikle bir kullanıcının e-posta adresine bağlıydı. Yöntem bugünün İnternet’inde hala mevcuttur, ancak siteler, genellikle geleneksel hesap oluşturma süreçlerini desteklemeye ek olarak, birleşik kimlik doğrulamayı da desteklemeye başlamıştır.
Birleşik kimlik doğrulama, örneğin Tek Oturum Açma, siteler ve hizmetler genellikle her iki seçeneği de desteklediğinden, kullanıcı oluşturma sürecine yeni bir karmaşıklık katmanı ekler. Facebook, Microsoft veya Google gibi şirketler, birleşik kimlik doğrulamayı destekler ve kimlik sağlayıcıları olarak hareket eder. Kullanıcılar, Tek Oturum Açma’yı ve kullanıcının kimlik sağlayıcısını destekleyen üçüncü taraf hizmetlerine kaydolabilir. Bazı siteler, kullanıcıların klasik kullanıcı hesaplarını, bir kullanıcı adı ve parola veya kimlik sağlayıcı kullanarak oturum açma yeteneğinin kilidini açan Tekli Oturum Açma sağlayıcılarına bağlamasına izin verir.
Sudhodanan’a göre web siteleri ve hizmetler, “kullanıcılar için deneyimi iyileştirdiği” için kimlik sağlayıcıları desteklemek için güçlü bir teşvike sahiptir. Kullanıcılar, geçmişte oluşturdukları hesapları birden çok hizmette yeniden kullanabilir bu, hesap oluşturma sürecini daha kolay daha hızlı hale getirir ve hesap parolası oluşturma ihtiyacını ortadan kaldırabilir. Önceki araştırmalar, Tek Oturum Açma sağlayıcılarının saldırılar için yüksek değerli hedefler haline geldiğini göstermişti.
Hesap Ele Geçirme Öncesi Saldırılar
Sudhodanan araştırmasında, tüm bir hesap ele geçirme öncesi saldırı sınıfının var olduğunu gösteriyor. Hepsinin ortak noktası, saldırganın hedef hizmette kurbandan önce eylemler gerçekleştirmesidir. Sudhodanan’ın araştırma makalesinde açıkladığı beş farklı saldırı türünün hiçbiri kurbanın Kimlik Sağlayıcı hesabına erişim gerektirmez.
Saldırganların, kurbanların muhtemelen gelecekte kaydolacakları hizmetleri hedeflemesi gerekir. Örneğin mevcut hesaplar veya ilgi alanları hakkında ek bilgiler, hedeflerin seçiminde yardımcı olabilir, ancak saldırganlar popülerlik, eğilimler ve hatta kuruluşlar hedefse basın bültenlerine göre de hedefler seçebilir.
Hesap ele geçirme öncesi saldırılarının amacı, klasik hesap ele geçirme saldırılarınınkiyle aynıdır.
Hedef hizmetin niteliğine bağlı olarak, başarılı bir saldırı, saldırganın hesapla ilişkili hassas bilgileri (ör. mesajlar, fatura ekstreleri, kullanım geçmişi vb.) okumasına değiştirmesine veya kurbanın kimliğini kullanarak eylemler gerçekleştirmesine (ör. sahte mesajlar göndermek, kayıtlı ödeme yöntemlerini kullanarak alışveriş yapmak vb.)
Bir saldırı üç aşamadan oluşur:
- Ele geçirme öncesi — Saldırgan, hedef hizmetlerde hesap oluşturmak için kurbanların e-posta adreslerini kullanır. Saldırıyı gerçekleştirmek için e-posta adresinin bilgisi gereklidir.
- Kurban eylemi — Kurbanın hedefte bir hesap oluşturması veya zaten var olan hesabı kurtarması gerekir.
- Hesap ele geçirme saldırısı — Saldırgan, farklı saldırı biçimleri kullanarak hedef hizmetteki kullanıcı hesabını ele geçirmeye çalışır.
Klasik Federe Birleştirme Saldırısı
Saldırı, tek bir sağlayıcıda klasik hesaplar ve federe hesaplar arasındaki etkileşim zayıflıklarından yararlanır. Saldırgan, sağlayıcıda bir hesap oluşturmak için kurbanın e-posta adresini kullanabilir kurban, aynı e-posta adresini kullanmak yerine birleşik sağlayıcıyı kullanarak bir hesap oluşturabilir. Hizmetin iki hesabı nasıl birleştirdiğine bağlı olarak, her iki tarafın da aynı hesaba erişmesine neden olabilir.
Saldırının başarılı bir şekilde gerçekleştirilebilmesi için hedef servisin klasik ve federe hesapları desteklemesi gerekmektedir. Ayrıca, benzersiz hesap tanımlayıcısı olarak e-posta adresleri kullanılmalı ve her iki hesap türünün birleştirilmesi desteklenmelidir.
Kurban, federe sağlayıcıyı kullanarak hesabı oluşturduğunda, hedef hizmet hesapları birleştirebilir. Bunun nasıl yapıldığına bağlı olarak, saldırganın belirtilen parolayı kullanarak hedef hizmete erişmesine izin verebilir.
Süresi Dolmamış Oturum Saldırısı
Bu saldırı, bir parola sıfırlandığında bazı hizmetlerin kullanıcıların hesaplarının oturumunu kapatmamasından yararlanır. Hizmet kurbana zaten bir hesabın var olduğunu bildirirse, kurban bir hizmetteki hesap parolasını sıfırlayabilir.
Saldırı, hizmet birden fazla eşzamanlı oturumu destekliyorsa ve parolalar sıfırlanırsa kullanıcılar hesaplarından çıkış yapmadıysa çalışır. Oturumu etkin tutmak için saldırganın hesapta oturum açması gerekir.
Truva Tanımlayıcı Saldırısı
Saldırgan, kurbanın e-posta adresini ve herhangi bir parolayı kullanarak hedef hizmette bir hesap oluşturur. Tamamlandığında, hesaba ikinci bir tanımlayıcı eklenir örneğin, saldırganın kontrol ettiği başka bir e-posta adresi.
Kurban parolaları sıfırladığında, saldırgan hesaba yeniden erişim sağlamak için ikincil tanımlayıcıyı kullanabilir.
Süresi Dolmamış E-posta Değişikliği Saldırısı
Saldırı, hedef hizmetlerin e-posta değiştirme sürecindeki bir güvenlik açığından yararlanır. Saldırgan, başlangıçta kurbanın e-posta adresini ve herhangi bir parolayı kullanarak bir hesap oluşturur. Daha sonra saldırgan, hesabın e-posta adresini değiştirme işlemine başlar bu, yeni e-posta adresine bir onay e-postasının gönderilmesine yol açar.
Saldırgan, sağlanan bağlantıya hemen tıklamak yerine, kurbanın hesabın hesap şifresini sıfırlamasını ve hesabı kurtarmasını bekler. Saldırgan daha sonra kurbanın hesabının kontrolünü ele geçirmek için bağlantıyı etkinleştirir.
Saldırı, yalnızca hedef hizmet belirli bir süre sonra bağlantıları geçersiz kılmıyorsa çalışır.
Doğrulanmayan IdP Saldırısı
Saldırı, Klasik Federe Birleştirme Saldırısını yansıtır. Saldırgan, “federe bir kimlik oluştururken bir e-posta adresinin sahipliğini doğrulamayan” bir Kimlik Sağlayıcı kullanarak hedef hizmette bir hesap oluşturur.
Kurbanın hedef hizmette klasik bir hesap oluşturması gerekecekti. Hizmet ikisini birleştirirse, saldırgan hesaba erişebilir.
Kapanış Sözleri
Sudhodanan, Alexa’nın en iyi 150 sitesinin 75 sitesini inceledi ve bunların açıklanan saldırılardan bir veya daha fazlasına karşı savunmasız olup olmadığını tespit etti. Analiz sırasında 252 potansiyel güvenlik açığı ve 56 doğrulanmış güvenlik açığı buldu. Dropbox, Instagram, LinkedIn, WordPress.com ve Zoom, açıklanan saldırılardan birine karşı savunmasız bulundu.
