得益于一些良好思考的功能,网络犯罪分子可以在某些Internet的最大平台上闯入在线帐户,而无需了解密码。根据调查此事的研究人员,他们需要知道的只是受害者的电子邮件地址,这几天这几乎不是一个问题。
来自Microsoft安全响应中心的网络安全研究人员与独立的研究人员Avinash Sudhodanan一起找到了一种闯入在线帐户的方法,基本上是第一个。
有几种成功进行攻击的方法,但在这里是它的要旨 - 在外行中,在外行的术语中:如果攻击者知道受害者的电子邮件地址,并且知道他们没有在服务上注册的帐户,可以为他们创建帐户,他们可以使用他们的电子邮件地址来予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以予以的信息。
你可能喜欢
您的密码不是保护您的在线身份的关键,您的电子邮件地址是
流行的AI计划欺骗了网络钓鱼活动,这些销售伪造的Microsoft SharePoint登录
Microsoft 365帐户正在受到新的恶意软件欺骗的攻击,流行的工作应用程序
分享您对网络安全的想法,并免费获得《黑客手册》 2022年的副本。帮助我们找到企业如何为后载后世界做准备,以及这些活动对其网络安全计划的影响。在此调查结束时输入您的电子邮件,以获取Bookazine,价值$ 10.99/£10.99。
单登录
对于需要通过电子邮件确认用户确认的服务,攻击者可以创建一个带有不同电子邮件地址的帐户,然后稍后切换到受害者的地址。
在这里,服务的功能出现在这里 - 有些人允许帐户合并。如果该服务看到受害者正试图用已经注册的电子邮件注册一个帐户,则可能会提供单个登录功能,而无需提示受害者获取密码。受害人登录,攻击者保持登录。密码从未更改。
在某些情况下,攻击者还可以创建一个自动脚本以使会话保持在需要时保持活动状态。阅读更多
> VoIP企业电话系统攻击一千个企业
>网络钓鱼只是个人的–避免社交媒体陷阱
>黑客的背后:技术记者如何自愿入侵(以研究的名义)
While the researchers already disclosed their findings with some of the biggest sites, most of which plugged the hole already, the researchers are warning that many more probably have this loophole, and whether or not they’ll fix it any time soon is a very big “maybe”.
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
有关攻击方式的工作方式以及用户可以采取什么措施并减轻威胁的更多详细信息,可以在本周早些时候Microsoft的安全响应团队发布的“ Web用户帐户上的预算攻击”论文中找到。
像往常一样,建议用户尽可能地设置安全键和其他形式的多因素身份验证。
通过:BleepingComputer
