Pembajakan akun adalah tindakan mengambil kendali akun orang lain. Ini biasanya dilakukan dengan harapan mencuri informasi pribadi, menyamar sebagai korban, atau memeras mereka. Pembajakan akun adalah masalah umum tetapi tidak mudah untuk dilakukan. Agar berhasil, penyerang jelas perlu mengetahui kata sandi korban.
Para peneliti telah menemukan jenis serangan baru yang dikenal sebagai pra-pembajakan akun. Ini melibatkan akun yang belum dibuat dan memungkinkan penyerang mencapai tujuan yang sama tanpa akses ke kata sandi.
Jadi apa itu pra-pembajakan akun dan bagaimana Anda bisa melindungi diri darinya?
Apa Itu Pra-Pembajakan Akun?
Pra-pembajakan akun adalah jenis serangan siber baru. Penyerang membuat akun di layanan populer menggunakan alamat email orang lain.
Saat korban mencoba membuat akun menggunakan alamat email yang sama, penyerang tetap memegang kendali akun. Setiap informasi yang diberikan oleh korban kemudian dapat diakses oleh penyerang, dan mereka kemudian dapat mengambil kendali eksklusif atas akun tersebut di kemudian hari.
Bagaimana Cara Kerja Pra-Pembajakan Akun?
Untuk melakukan pra-pembajakan, penyerang pertama-tama membutuhkan akses ke alamat email. Ini tersedia secara luas di web gelap. Ketika sebuah terjadi pelanggaran data, sejumlah besar alamat email biasanya dipublikasikan sebagai dump data.
Penyerang kemudian membuat akun di layanan populer yang belum digunakan oleh pemilik alamat email. Serangan ini mungkin terjadi pada banyak penyedia layanan besar sehingga memprediksi bahwa korban pada suatu saat akan menginginkan akun seperti itu tidak selalu sulit.
Ini semua dilakukan secara massal, dengan harapan sejumlah serangan pada akhirnya akan berhasil.
Ketika korban mencoba membuat akun di layanan yang ditargetkan, mereka akan diberitahu bahwa mereka sudah memiliki akun dan akan diminta untuk mengatur ulang kata sandi mereka. Banyak korban akan mengatur ulang kata sandi mereka dengan asumsi bahwa itu adalah kesalahan.
Penyerang kemudian akan diberi tahu tentang akun baru dan mungkin dapat mempertahankan aksesnya.
Mekanisme spesifik terjadinya serangan ini bervariasi, tetapi ada lima jenis yang berbeda.
Serangan Gabung Federasi Klasik
Banyak platform online memberi Anda pilihan untuk masuk menggunakan identitas gabungan seperti akun Gmail Anda atau membuat akun baru menggunakan alamat Gmail Anda. Jika penyerang mendaftar menggunakan alamat Gmail Anda dan Anda masuk menggunakan akun Gmail, mungkin Anda berdua memiliki akses ke akun yang sama.
Serangan Pengenal Sesi yang Belum Kedaluwarsa
Penyerang membuat akun menggunakan alamat email korban dan mereka tetap aktif. Saat korban membuat akun dan mengatur ulang kata sandinya, penyerang tetap memegang kendali akun karena platform tidak mengeluarkan mereka dari sesi aktif mereka.
Serangan Pengenal Trojan
Penyerang membuat akun dan menambahkan opsi pemulihan akun lebih lanjut. Ini mungkin alamat email lain atau nomor telepon. Korban dapat mengatur ulang kata sandi akun tetapi penyerang masih dapat menggunakan opsi pemulihan akun untuk mengendalikannya.
Serangan Perubahan Email yang Belum Kedaluwarsa
Penyerang membuat akun dan memulai perubahan alamat email. Mereka menerima tautan untuk mengubah alamat email akun, tetapi mereka tidak menyelesaikan prosesnya. Korban dapat mengatur ulang kata sandi akun tetapi ini tidak serta merta menonaktifkan tautan yang diterima penyerang. Penyerang kemudian dapat menggunakan tautan untuk mengambil kendali akun.
Serangan Penyedia Identitas yang Tidak Memverifikasi
Penyerang membuat akun menggunakan penyedia identitas yang tidak memverifikasi alamat email. Saat korban mendaftar menggunakan alamat email yang sama, kemungkinan keduanya akan memiliki akses ke akun yang sama.
Bagaimana Kemungkinan Pra-Pembajakan Akun?
Jika penyerang mendaftar akun menggunakan alamat email Anda, mereka biasanya akan diminta untuk memverifikasi alamat email. Dengan asumsi mereka tidak meretas akun email Anda, ini tidak akan mungkin.
Masalahnya adalah banyak penyedia layanan mengizinkan pengguna untuk tetap membuka akun dengan fungsionalitas terbatas sebelum email tersebut diverifikasi. Ini memungkinkan penyerang menyiapkan akun untuk serangan ini tanpa verifikasi.
Platform Mana yang Rentan?
Peneliti menguji 75 platform berbeda dari 150 teratas menurut Alexa. Mereka menemukan bahwa 35 dari platform ini berpotensi rentan. Ini termasuk nama besar seperti LinkedIn, Instagram, WordPress, dan Dropbox.
Semua perusahaan yang ditemukan rentan diinformasikan oleh para peneliti. Tetapi tidak diketahui apakah tindakan yang cukup telah diambil untuk mencegah serangan ini.
Apa yang Terjadi pada Korban?
Jika Anda jatuh untuk serangan ini, informasi apa pun yang Anda berikan akan dapat diakses oleh penyerang. Tergantung pada jenis akun, ini mungkin termasuk informasi pribadi. Jika serangan ini dilakukan terhadap penyedia email, penyerang dapat mencoba menyamar sebagai Anda. Jika akun itu berharga, itu juga bisa dicuri, dan Anda bisa dimintai tebusan untuk mengembalikannya.
Bagaimana Melindungi Terhadap Pra-Pembajakan Akun
Perlindungan utama terhadap ancaman ini adalah mengetahui bahwa ancaman itu ada.
Jika Anda membuat akun dan diberi tahu bahwa akun sudah ada, Anda harus mendaftar dengan alamat email yang berbeda. Serangan ini tidak mungkin dilakukan jika Anda menggunakan alamat email yang berbeda untuk semua akun terpenting Anda.
Serangan ini juga bergantung pada pengguna yang tidak menggunakan Otentikasi Dua Faktor (2FA). Jika Anda membuat akun dan mengaktifkan 2FA, orang lain yang memiliki akses ke akun tersebut tidak akan dapat masuk. 2FA juga direkomendasikan untuk melindungi dari ancaman online lainnya seperti phising dan pelanggaran data.
Pra-Pembajakan Akun Mudah Dihindari
Pembajakan akun adalah masalah umum. Tetapi pra-pembajakan akun adalah ancaman baru dan, sejauh ini, sebagian besar bersifat teoretis. Ini kemungkinan ketika mendaftar ke banyak layanan online, tetapi belum diyakini sebagai kejadian biasa.
Meskipun korban serangan ini dapat kehilangan akses akun dan informasi pribadi mereka dicuri, hal ini juga mudah dihindari. Jika Anda mendaftar untuk akun baru dan diberi tahu bahwa Anda sudah memilikinya, Anda harus menggunakan alamat email yang berbeda.
