Израильские ученые описали новый метод атаки под названием PRMitM (Password Reset Man-in-the-Middle), позволяющей инициировать сброс пароля от электронной почты пользователя при его регистрации на другом сайте. PRMitM предполагает использование методов социальной инженерии, поскольку атакующим потребуется убедить потенциальную жертву зарегистрировать учетную запись на специально созданном сайте.
Когда пользователь вводит свой логин или адрес электронной почты в регистрационную форму на сайте злоумышленников, ресурс отправляет эту информацию на страницы жертвы в сервисах Google, Yandex или Yahoo! для инициализации процесса сброса пароля. В случае, если сервис запрашивает выполнение дополнительных действий, например, ввода CAPTCHA, ответа на секретные вопросы или ввода кода верификации, отправленного в SMS-сообщении, атакующий дополняет форму регистрации соответствующими пунктами.
PRMitM эффективна только против учетных записей в сервисах электронной почты. Как пояснили эксперты, большинство web-сайтов отправляют ссылки для сброса пароля в электронных письмах, тогда как сервисы электронной почты используют другие методы, такие как уже упоминавшиеся тесты CAPTCHA, ответы на секретные вопросы и коды верификации.
Успешность атаки в основном зависит от внимательности пользователей, отмечают исследователи. К примеру, в ходе тестирования нового метода многие пользователи вносили в форму регистрации все требуемые сведения даже не подозревая, что кто-то пытается взломать их учетную запись. Более того, при получении SMS-сообщений с кодом верификации большинство пользователей даже не удосужились прочитать уведомление полностью, что могло бы предотвратить взлом аккаунта. Некоторые сервисы, такие как Twitter или Facebook, указывают в SMS-сообщениях, для каких целей предназначен код (для сброса пароля, регистрации и т.д.).
Для противодействия подобным атакам в будущем исследователи рекомендуют сервисам предпринять ряд мер, в том числе отправлять ссылки для сброса паролей в SMS-сообщениях, если они не практикуют отправку таких ссылок в электронных письмах. Получив подобное сообщение при регистрации на другом сайте, пользователь поймет, что происходит нечто подозрительное, уверены исследователи.
Источник: securitylab.ru
