Cybercriminelen hebben geen voorletters, rekeningnummers of wachtwoorden nodig om accounts te stelen. Een e-mailadres is doorgaans genoeg. Dat blijkt uit nieuw onderzoek van Microsoft.

We denken vaak dat cybercriminelen meerdere gegevens nodig hebben om gebruikersaccounts te stelen. Bijvoorbeeld een geboortedatum of -plaats, waarmee veiligheidsvragen bij wachtwoordherstel beantwoord kunnen worden. Persoonsgegevens maken het makkelijker, maar noodzakelijk zijn ze niet. Nieuw onderzoek wijst uit dat een e-mailadres genoeg is om accounts te stelen op ’s werelds populairste websites.

Het onderzoek komt van Andrew Paverd en Avinash Sudhodanan. Paverd werkt voor Microsoft en Sudhodanan is onafhankelijk. In 2020 ontving het duo een beurs voor onderzoek naar de veiligheid van populaire identiteitscontroles. De onderzoekers kwamen op het spoor van ‘pre-hijacking’, een methode voor het stelen van website- en webapp accounts. Ongeveer de helft van ’s werelds populairste websites blijkt kwetsbaar voor de methode. Zorgwekkend, want pre-hijacking is verrassend makkelijk uit te voeren.

Hoe werkt pre-hijacking?

Een cybercrimineel heeft meerdere opties voor het stelen van een account. Phishing en social engineering zijn regelmatig succesvol, maar niet bepaald efficiënt. Een cybercrimineel heeft heel wat gegevens nodig om tweestapsverificatie te omzeilen. Voor pre-hijacking is een enkel emailadres genoeg. De aanvaller gebruikt het emailadres van een slachtoffer om accounts aan te maken voor websites waarop het slachtoffer nog niet is geregistreerd. Probeert een slachtoffer op een later moment een account aan te maken, dan blijkt het mailadres reeds in gebruik. Vaak vraagt het systeem of het slachtoffer zijn of haar wachtwoord wil resetten. Het slachtoffer ontvangt de herstellink, wijzigt het wachtwoord en is zich niet van kwaad bewust.

Een website of webapp hoort de aanvaller na wachtwoordherstel van de account af te knikkeren, maar dat gaat regelmatig mis. De onderzoekers vonden vijf veelvoorkomende kwetsbaarheden die ervoor zorgen dat een aanvaller toegang houdt. Een aanvaller kan bijvoorbeeld ingelogd blijven terwijl het slachtoffer het wachtwoord herstelt. De aanvaller wacht terwijl het slachtoffer de account in gebruik neemt, ververst de pagina en steelt alle gegevens die inmiddels zijn ingevoerd.

Een ander voorbeeld draait om de fusie van Identity Providers (IdP) en Single Sign-On (SSO)-systemen, twee verschillende authenticatieoplossingen. Beide opties hebben voor- en nadelen, waardoor sommige websites voor beide systemen kiezen. In dat geval kan een aanvaller een account aanmaken met SSO. Registreert het slachtoffer later met IdP, dan worden de accounts gefuseerd en behoudt de aanvaller toegang.

De helft is kwetsbaar

De onderzoekers controleerden 75 van de 150 meest populaire internetdiensten op vergelijkbare kwetsbaarheden. Ongeveer de helft bleek kwetsbaar, waaronder Dropbox, Instagram en LinkedIn. De onderzoekers namen contact op met elke getroffen organisatie. De kwetsbaarheden zijn inmiddels opgelost.

“Het is zeer waarschijnlijk dat veel meer websites en online diensten kwetsbaar zijn voor deze aanvallen”, lieten de onderzoekers weten. “Daarom publiceren we het rapport. Het is belangrijk om de kwetsbaarheden aan het licht te brengen, zodat elke organisatie met een website of webapp actie kan ondernemen om hun gebruikersaccounts te beschermen.”