Como proteger uma conta que tenha sido pirateada antes de a registar
A fraude de apropriação de conta não é nova, mas está a crescer rapidamente. Em 2018, as fraudes relativas à aquisição do controlo de contas representaram perdas de cerca de 4 mil milhões de dólares. Em 2021, este valor aumentou em mais de 200%, e estima-se que a partir de hoje exceda os 12 mil milhões de dólares.
Um paper recentemente publicado pela Microsoft revelou uma nova e perturbadora forma de comprometer as contas, na qual os hackers sequestram as contas antes de os utilizadores as registarem. Por exemplo, criam uma conta no Zoom ou no Dropbox usando as credenciais do utilizador. O pré-hijacking pode ter um efeito devastador nas organizações, uma vez que o acesso pode ser comprometido sem ser detetado.
Esta classe de ciberataque requer as seguintes circunstâncias para poder funcionar:
- A conta ainda não foi criada pelo utilizador com a identificação utilizada.
- Os hackers precisam de alguma forma de identificação do utilizador (e-mail, número de identificação, número de telefone, etc.), geralmente obtida na dark web.
- Uma falha no processo permite que a conta seja criada sem ser verificada.
Relativamente a este último ponto, importa esclarecer que os hackers não têm acesso ao e-mail ou ao telemóvel da vítima, apenas têm o seu login (nome de utilizador e palavra-chave), pelo que a conta não é ativada posteriormente. O estudo da Microsoft Research identifica os seguintes métodos de pré-hijacking:
- Ataque Classic-Federated Merge: seguindo este método, o atacante cria uma conta utilizando o endereço de correio eletrónico da vítima. Obviamente, não é verificado, uma vez que o atacante não tem acesso ao correio eletrónico, mas o login é registado. Quando é que a conta é comprometida? Quando a vítima a ativa, utilizando o caminho de criação do IdP.
- Ataque de ID de sessão não expirada: o atacante consegue gerar a conta utilizando o correio eletrónico da vítima como identificador, tornando o acesso totalmente funcional. Quando a vítima tenta criar a conta, é notificada de que esta já foi criada e é gerada a recuperação de palavra-passe, o que não impede o atacante de continuar a obter acesso. Para que este ataque seja bem-sucedido, o serviço deve permitir várias sessões em simultâneo.
- Ataque de Identificador de Trojan: utilizando este sistema, o hacker gera um identificador na nova conta e, depois, cria um login secundário com dados reais do cliente (e-mail ou número de telefone). Isto significa que mesmo que a vítima tente iniciar sessão recuperando a sua palavra-passe, o atacante permanecerá ativo na conta como um trojan.
- Ataque Non-Verifying IdP: usando esta técnica, os hackers criam o seu próprio IdP e abrem uma conta usando o seu caminho federado. Depois adicionam um utilizador usando o endereço de correio eletrónico da vítima. Quando a vítima cria uma conta, o sistema lembra-lhes que ela já existe e, ao recuperar a palavra-chave, o atacante ganha acesso através da conta federada.
- Ataque de alteração de e-mail não expirado: com este vetor de ataque, o cibercriminoso gera uma conta utilizando o endereço de e-mail da vítima sem esperar pela verificação e depois altera-o para outro sob o seu controlo. Neste ponto, se a vítima tentar criar uma conta, o atacante toma o controlo da mesma antes de o processo de alteração de correio eletrónico estar concluído.
- Truque de verificação de e-mail: em muitos sistemas, o serviço não permite que uma conta seja criada sem verificação de e-mail. Isto é quando o hacker a cria utilizando um e-mail sob o seu controlo e, depois, tira partido de a função "alterar e-mail", introduzindo o endereço de e-mail da vítima. Assim, quando o utilizador quer criar uma conta, pode iniciar o processo de alteração, mas o atacante já a "trojanizou", permanecendo ativo sobre ela.
Então, como é que se pode proteger contra um ataque pré-hijack?
A medida fundamental e mais eficaz é implementar um forte sistema de autenticação multifatorial (MFA). Uma das maiores falhas dos tradicionais logins de ID de utilizador e palavra-chave é que as passwords podem ser facilmente comprometidas. No passado, os sistemas de MFA costumavam confiar na autenticação de dois fatores (2FA). Contudo, atualmente, o rótulo multi-fator é cada vez mais utilizado para descrever qualquer esquema de autenticação que exija duas ou mais credenciais de identidade para reduzir a possibilidade de um ciberataque.
Estes sistemas identificam explicitamente o utilizador através de um dispositivo pessoal adicional, mas para ser verdadeiramente eficaz, é fundamental ativar a MFA associada a uma conta ao mesmo tempo que esta é criada. Quanto maior for o intervalo de tempo entre a criação e a ativação da MFA, maior é a probabilidade de sofrer um destes ataques.
Após a implementação da MFA, as organizações devem concentrar-se no outro elo fraco da cadeia: os utilizadores. Em muitos casos, as pessoas não se lembram de ter criado uma conta num determinado serviço e, quando recebem um alerta, assumem que o criaram, procedendo à recuperação da palavra-passe e completando o ataque sem se aperceberem disso. Isto significa que é importante formar o pessoal para que nunca recuperem a palavra-passe de um serviço, a menos que tenham a certeza absoluta de ter criado uma conta antes.