新研究：账户预劫持攻击可以在用户注册之前劫持其账户

发布于：2022-05-25

微软安全响应中心近日发布Web账户预劫持攻击的研究报告，该项研究由独立安全研究员Avinash Sudhodanan所领导，在评估验证阶段，研究员共分析了75个主流网站，发现其中至少有35个容易受到帐户预劫持攻击。

帐户预劫持攻击是攻击者在受害者所在的目标服务上创建帐户之前执行一些操作，从而在未来接管帐户，其技术难度较低，成功攻击的难度较高。报告披露了五种类型的预劫持攻击，并表示他们将在今年8月近一步披露详细内容。

帐户预劫持攻击的影响与帐户劫持相同。根据网站服务的性质，危害会大不相同，成功的攻击可能允许攻击者读取/修改与账户相关的敏感信息，或使用受害者的身份执行操作，例如发送欺骗性消息、使用保存的付款方式进行购物等。

在缓解方面，如果服务商向用户提供的电子邮件地址发送验证邮件，并要求在允许对帐户进行任何进一步操作之前完成验证，则可缓解该攻击。技术上也可以解决这一问题，网站可以执行MFA（多因素身份验证）来保护用户免受预劫持攻击。

账户接管攻击

热门视频