新闻快讯
< >

PRMitM攻击:在帐户注册过程中重置受害者的其它密码

E安全6月27日讯,4名以色列科学家发布研究论文,详细描述了一种新型攻击,即“密码重置中间人攻击”(PRMitM),引导受害者在目标网站进行注册,并在注册过程中偷偷重置该受害者的其它密码。

PRMitM属于社会工程类攻击,其要求攻击者说服或诱骗潜在受害者在陷阱网站上注册个人资料。

PRMitM攻击:在帐户注册过程中重置受害者的其它密码-E安全

PRMitM攻击如何操作?

PRMitM攻击要求攻击者创建特殊后端,将数据输入到注册页面,并发送至另一站点的密码重置系统。

例如,当受害者在陷阱网站的注册页面输入用户名或电子邮件,恶意网站的后端会将这类信息发送至Google、Yandex或Yahoo目标页面,从而启动密码重置操作。

如果密码重置服务要求完成各种安全设置,例如验证码、安全问题或短信验证码,攻击者便会通过新程序更新注册程序,要求用户在注册页面输入这类信息。

PRMitM攻击:在帐户注册过程中重置受害者的其它密码-E安全

短信一样要看完?

PRMitM攻击只对接管电子邮箱账户有效,因为如今大多数网站会通过电子邮件发送密码重置链接。然而,电子邮件提供商会通过其它方式处理该过程,例如验证码、安全问题或短信验证码。

E安全提醒那些粗心大意的用户注意,研究人员在测试期间证明,许多用户在注册页面输入了所有要求输入的信息,丝毫没有注意到有人在尝试入侵他们的账号。甚至当受害者通过短信验证码时,大多数用户会在手机通知栏读取验证码,而不会查看完整的短信内容。诸如Twitter或Facebook在内的网站会在短信中阐明验证码的真实用途(例如密码重置、注册等)。读取完整的短信会让用户免遭这类攻击。

E安全再次提醒大家,以后看短信信息别看个“验证码”就完了,请务必全文阅读!

密码重置链接

密码重置时,请使用短信等多种方式发送密码,勿仅限于电子邮件

为了防止PRMitM攻击,研究人员建议,如果网站或服务提供商取消了电子邮件发送密码重置服务,应至少采用短信发送密码重置链接。

当某人试图在另一网站注册时,通过短信接收密码重置链接会提醒受害者可能存在风险。

尽管如此,这种缓解措施无法保护受害者免受国家攻击者发起这类攻击,这类攻击者具有资源可以利用SS7协议中的漏洞,并劫持手机号码,在自己的手机上接收密码重置通知。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。