This post is also available in: enEnglish (אנגלית)

התקפות השתלטות על חשבונות (account takeover attacks) הן תקיפות בהן האקר משיג גישה לחשבונות מקוונים. חוקרים למדעי המחשב פיתחו דרך חדשה לזהות חולשות אבטחה שמשאירות טלפונים פגיעים להתקפות כאלה.

כיום, רוב הטלפונים החכמים מכילים רשת מורכבת של תוכנות הפעלה ויישומים מקושרים, וככל שירבו הקשרים בין שירותים מקוונים כך ירבו ההזדמנויות של ההאקרים לנצל את חולשות האבטחה, במה שלעתים קרובות מביא השלכות הרסניות על בעלי החשבונות.

ד"ר לוקה ארנבולדי מבית הספר למדעי המחשב של אוניברסיטת בירמינגהם מסביר: "התחבולה של להסתכל מעבר לכתפו של מישהו כדי לגלות את קוד ה-PIN שלו כבר ידועה היטב. עם זאת, המטרה הסופית של התוקף היא לקבל גישה לאפליקציות של המכשיר אשר מאחסנות שפע של מידע אישי ויכולות לספק גישה לחשבונות כמו אמזון, גוגל, X, Apple Pay ואפילו חשבונות בנק".

החוקרים פעלו כדי להגדיר דרך לקטלג פרצות אבטחה ולמדוד התקפות השתלטות על חשבונות על ידי חילוקן לאבני הבניין המרכיבות אותן.

על פי Techxplore, חולשות אבטחה נחקרו עד כה באמצעות "גרפים לגישה לחשבון", המציגים את הטלפון, כרטיס ה-SIM, האפליקציות ותכונות האבטחה המגבילות כל שלב של גישה. עם זאת, גרפים של גישה לחשבון אינם מדגימים השתלטות על חשבונות, כאשר תוקף מנתק מכשיר או יישום מרשת החשבונות.

דוגמה לסוג זה של התקפה יכולה לכלול גורם זדוני המוציא את כרטיס ה-SIM מהנייד ומכניס אותו למכשיר אחר, אשר בתורו יכול לשמש לשיטות שחזור סיסמה מונחות SMS.

החוקרים התגברו על מכשול זה על ידי פיתוח דרך חדשה למדל כיצד הגישה לחשבון משתנה כאשר מכשירים, כרטיסי SIM או אפליקציות מנותקות מהמערכת של החשבון. השיטה שלהם מציגה את הבחירות העומדות בפני האקר שיש לו גישה לטלפון הנייד ולקוד ה-PIN.

במחקר שפורסם ב-" Computer Security—ESORICS 2023", החוקרים מתייחסים גם לטענה כי נתן להשתמש באותה אסטרטגיית התקפה כדי להשיג גישה לנתונים ולחשבונות בנק באייפון ובאנדרואיד. החוקרים מסבירים כי התקנת אפליקציות במכשיר אנדרואיד נעשית דרך חנות Play (הדורשת חשבון גוגל) – חיבור נוסף המספק הגנה מסוימת מפני התקפות. הם אפילו הציעו תיקון אבטחה עבור אייפון שאפל יישמה מאז ונתן שכבה חדשה של הגנה עבור משתמשי אייפון.

כאשר ניסו את התרגיל הזה על סמארטפונים אחרים, החוקרים מצאו כי למכשירים להם היו חשבונות יצרן משלהם (כמו סמסונג ו-Xiaomi) הייתה אותה פגיעות כמו של אפל – חשבון הגוגל היה בטוח אבל חשבונות היצרן נפרצו.