4名以色列科学家发布研究论文，详细描述了一种新型攻击，即“密码重置中间人攻击”（PRMitM），引导受害者在目标网站进行注册，并在注册过程中偷偷重置该受害者的其它密码。

PRMitM属于社会工程类攻击，其要求攻击者说服或诱骗潜在受害者在陷阱网站上注册个人资料。

PRMitM攻击要求攻击者创建特殊后端，将数据输入到注册页面，并发送至另一站点的密码重置系统。

例如，当受害者在陷阱网站的注册页面输入用户名或电子邮件，恶意网站的后端会将这类信息发送至Google、Yandex或Yahoo目标页面，从而启动密码重置操作。

如果密码重置服务要求完成各种安全设置，例如验证码、安全问题或短信验证码，攻击者便会通过新程序更新注册程序，要求用户在注册页面输入这类信息。

PRMitM攻击只对接管电子邮箱账户有效，因为如今大多数网站会通过电子邮件发送密码重置链接。然而，电子邮件提供商会通过其它方式处理该过程，例如验证码、安全问题或短信验证码。

E安全提醒那些粗心大意的用户注意，研究人员在测试期间证明，许多用户在注册页面输入了所有要求输入的信息，丝毫没有注意到有人在尝试入侵他们的账号。甚至当受害者通过短信验证码时，大多数用户会在手机通知栏读取验证码，而不会查看完整的短信内容。诸如Twitter或Facebook在内的网站会在短信中阐明验证码的真实用途（例如密码重置、注册等）。读取完整的短信会让用户免遭这类攻击。

E安全再次提醒大家，以后看短信信息别看个“验证码”就完了，请务必全文阅读！

密码重置时，请使用短信等多种方式发送密码，勿仅限于电子邮件。

为了防止PRMitM攻击，研究人员建议，如果网站或服务提供商取消了电子邮件发送密码重置服务，应至少采用短信发送密码重置链接。

当某人试图在另一网站注册时，通过短信接收密码重置链接会提醒受害者可能存在风险。

尽管如此，这种缓解措施无法保护受害者免受国家攻击者发起这类攻击，这类攻击者具有资源可以利用SS7协议中的漏洞，并劫持手机号码，在自己的手机上接收密码重置通知。