Gracias a algunas funciones mal pensadas, los ciberdelincuentes pueden acceder a cuentas en línea (opens in a new tab) en algunas de las plataformas más grandes de Internet, sin conocer las contraseñas. Todo lo que necesitan saber, según los investigadores que investigan el asunto, es la dirección de correo electrónico de la víctima, y ​​eso no es un problema en estos días.

Los investigadores de seguridad cibernética del Centro de Respuesta de Seguridad de Microsoft, en colaboración con el investigador independiente Avinash Sudhodanan, han encontrado una manera de acceder a las cuentas en línea, básicamente siendo los primeros en llegar.

Hay varios métodos para llevar a cabo el ataque, pero aquí está la esencia, en términos simples: si el atacante conoce la dirección de correo electrónico de la víctima y sabe que no tiene una cuenta registrada en un servicio, puede crear la cuenta para ellos. utilizando su dirección de correo electrónico (y esperando que la víctima descarte la notificación por correo electrónico como spam).

Inicio de sesión único

Para los servicios que requieren la confirmación del usuario por correo electrónico, hay una trampa: los atacantes pueden crear una cuenta con una dirección de correo electrónico diferente y luego cambiar a la dirección de la víctima.

Aquí es donde entran en juego las características del servicio: algunas permiten la fusión de cuentas. Si el servicio descubre que la víctima está tratando de registrar una cuenta con una dirección de correo electrónico ya registrada, puede ofrecer una función de inicio de sesión único, sin siquiera pedirle a la víctima la contraseña (se abre en una nueva pestaña). La víctima se conecta, el atacante permanece conectado. Las contraseñas nunca se cambian.

En algunos casos, el atacante también puede crear un script automatizado para mantener la sesión activa durante el tiempo que sea necesario.

Si bien los investigadores ya han filtrado sus hallazgos con algunos de los sitios más grandes, la mayoría de los cuales ya han parcheado el agujero, los investigadores advierten que es más probable que muchos tengan este defecto, y si lo arreglan o no en el corto plazo es un problema muy grande. «puede ser».

Se pueden encontrar más detalles sobre cómo funcionan los ataques y qué pueden hacer los usuarios para detectar y mitigar la amenaza en el artículo «Ataques previos al secuestro en cuentas de usuario web (se abre en una pestaña nueva)», publicado por el equipo de Microsoft Security Response. , a principios de esta semana.

Como de costumbre, se recomienda a los usuarios configurar claves de seguridad (se abre en una nueva pestaña) y otras formas de autenticación de múltiples factores siempre que sea posible.

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This