Appartiene agli attacchi di tipo pre-hijacking (con lo scopo di rubare info personali alla vittima), in particolare:
- Classic-Federated Merge Attack: l'attaccante crea un account con username e password, la vittima usa lo stesso account per accedere; se il servizio unisce i due aggount (dal termine "to merge" = fondere, unire) gli account coincidono e l'attaccante ha quindi l'accesso
- Unexpired Session Identifier Attack: dopo il reset della password, l'utente (vittima) non effettua il logout, la sessione resta attiva e l'attaccante la riesce a sfruttare (anche se la vittima recupera la password, nel frattempo l'attaccante potrebbe essersi già appropriato dell'account, dato che la sessione era ancora attiva)
- Trojan Identifier Attack: attacco di tipo "trojan", viene aggiunto es. una modalità aggiuntiva per accedere (mail secondaria, numero di telefono, ecc) che l'attaccante può usare
- Unexpired Email Change Attack: l'attaccante crea l'indirizzo email della vittima, poi lo sostituisce col proprio; il link di verifica arriva e viene usato solo dopo che la vittima ha recuperato il suo account
- Non-Verifying IdP Attack: tramite un identity provider, l'attaccante crea l'account e attende che la vittima crei l'account in modo classico (username, password); il servizio può unire i due account (simile al fenomeno "Merge") quindi l'attaccante ottiene l'accesso
Come sempre, i consigli per difendersi da questi attacchi sono la consapevolezza, usare password sicure, firewall e sistemi aggiornati.
Maggiori dettagli:
puntoinformatico.it