信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/絲綢之路。

對(duì)于我們大多數(shù)人來(lái)說(shuō)，密碼只是無(wú)數(shù)在線服務(wù)最常用的身份驗(yàn)證方法。但對(duì)于網(wǎng)絡(luò)犯罪分子而言，它的意義遠(yuǎn)不止于此——進(jìn)入他人生活的捷徑、至關(guān)重要的作案工具以及可以出售的商品。

知道密碼后，騙子不僅可以獲取您的帳戶、數(shù)據(jù)、金錢(qián)，甚至身份；他們還可以將您作為薄弱環(huán)節(jié)來(lái)攻擊您網(wǎng)絡(luò)上的朋友、親戚，甚至您工作或管理/擁有的公司。為防止這種情況，您首先需要了解外人如何竊取您的密碼。

您的密碼如何落入網(wǎng)絡(luò)罪犯之手？

有一種普遍的誤解認(rèn)為，要將您的密碼提供給網(wǎng)絡(luò)騙子，您需要犯一個(gè)錯(cuò)誤——從互聯(lián)網(wǎng)下載并運(yùn)行未經(jīng)檢查的文件，打開(kāi)來(lái)自未知發(fā)件人的文檔，或者在某些可疑網(wǎng)站上輸入您的憑據(jù)。誠(chéng)然，所有這些行為模式都可以讓攻擊者的生活更輕松，但也有其他情況。以下是獲取帳戶訪問(wèn)權(quán)限的最常見(jiàn)網(wǎng)絡(luò)犯罪方法。

網(wǎng)絡(luò)釣魚(yú)

這確實(shí)是主要依賴人為錯(cuò)誤的憑證收集方法之一。每天都會(huì)出現(xiàn)數(shù)百個(gè)網(wǎng)絡(luò)釣魚(yú)站點(diǎn)，尤其是在數(shù)以千計(jì)指向這些釣魚(yú)網(wǎng)站的郵件的幫助下。但是，如果您出于某種原因認(rèn)為您永遠(yuǎn)不會(huì)被網(wǎng)絡(luò)釣魚(yú)的把戲所欺騙——那您就錯(cuò)了。該方法幾乎與互聯(lián)網(wǎng)本身一樣古老，因此網(wǎng)絡(luò)犯罪分子有足夠的時(shí)間來(lái)開(kāi)發(fā)大量的社會(huì)工程學(xué)技巧和偽裝策略。即使是專業(yè)人士，有時(shí)也無(wú)法一眼就辨別出釣魚(yú)郵件和真實(shí)郵件。

惡意軟件

竊取憑據(jù)的另一種常見(jiàn)方法是使用惡意軟件。根據(jù)我們的統(tǒng)計(jì)，很大一部分活躍的惡意軟件由木馬竊取程序組成，其主要目的是等待用戶登錄某個(gè)站點(diǎn)或服務(wù)，然后復(fù)制他們的密碼并將其發(fā)回給其作者。如果您不使用電腦安全防護(hù)解決方案，特洛伊木馬可能會(huì)在您的計(jì)算機(jī)上隱藏多年而不被發(fā)現(xiàn)，那么您不會(huì)知道出了什么問(wèn)題，因?yàn)樗鼈儾粫?huì)造成任何明顯的傷害，只是默默地執(zhí)行它們的工作。

竊取密碼的特洛伊木馬并不是唯一尋找密碼的惡意軟件。有時(shí)，網(wǎng)絡(luò)犯罪分子會(huì)在網(wǎng)站上注入網(wǎng)絡(luò)瀏覽器并竊取用戶輸入的任何內(nèi)容，包括憑據(jù)、姓名、銀行卡詳細(xì)信息等。

第三方泄密

成為一些不安全的互聯(lián)網(wǎng)服務(wù)的用戶或會(huì)泄露包含其客戶數(shù)據(jù)的公司的客戶也會(huì)泄露您的密碼。當(dāng)然，認(rèn)真對(duì)待網(wǎng)絡(luò)安全的公司根本不會(huì)存儲(chǔ)您的密碼，或者至少會(huì)以加密的形式存儲(chǔ)。但你永遠(yuǎn)無(wú)法確定是否采取了足夠的安全保護(hù)措施。例如，今年SuperVPN泄露的信息包含2100萬(wàn)用戶的個(gè)人詳細(xì)信息和登錄憑據(jù)。

此外，有些公司根本無(wú)法避免存儲(chǔ)您的明文密碼。是的，我說(shuō)的是臭名昭著的LastPass密碼管理實(shí)用程序黑客攻擊。根據(jù)最新信息，一個(gè)未知的攻擊者使用一些客戶數(shù)據(jù)訪問(wèn)了基于云的存儲(chǔ)，包括客戶保險(xiǎn)庫(kù)的備份。是的，這些保險(xiǎn)庫(kù)已正確加密，LastPass從未存儲(chǔ)甚至不知道解密密鑰。但是，如果LastPass的客戶使用已經(jīng)從其他來(lái)源泄露的密碼登錄了他們的保險(xiǎn)庫(kù)怎么辦？如果他們重復(fù)使用不安全的密碼，那么現(xiàn)在網(wǎng)絡(luò)犯罪分子將能夠一次訪問(wèn)他們的所有帳戶。

初始訪問(wèn)代理

在這里，我們來(lái)到了另一個(gè)被盜密碼的來(lái)源——黑市?，F(xiàn)代網(wǎng)絡(luò)犯罪分子更喜歡專注于某些領(lǐng)域。他們可能會(huì)竊取您的密碼，但不一定會(huì)使用它們：批發(fā)銷(xiāo)售密碼更有利可圖。購(gòu)買(mǎi)此類密碼數(shù)據(jù)庫(kù)對(duì)網(wǎng)絡(luò)犯罪分子特別有吸引力，因?yàn)樗鼮樗麄兲峁┝艘粋€(gè)多合一的功能：用戶傾向于在多個(gè)平臺(tái)和帳戶中使用相同的密碼，通常將它們?nèi)拷壎ǖ酵环怆娮余]件。因此，有了來(lái)自一個(gè)平臺(tái)的密碼，網(wǎng)絡(luò)犯罪分子就可以訪問(wèn)受害者的許多其他帳戶——從他們的游戲帳戶到他們的個(gè)人電子郵件，甚至是成人網(wǎng)站上的私人帳戶。

黑客論壇的一則廣告：有人以4000美元的價(jià)格提供28萬(wàn)個(gè)各種游戲平臺(tái)的用戶名和密碼

泄露的公司數(shù)據(jù)庫(kù)可能包含也可能不包含憑據(jù)，也在同一個(gè)黑市上出售。此類數(shù)據(jù)庫(kù)的價(jià)格因數(shù)據(jù)量和組織所在行業(yè)而異：一些密碼數(shù)據(jù)庫(kù)可能售價(jià)數(shù)百美元。

暗網(wǎng)上的某些服務(wù)會(huì)聚合泄露的密碼和數(shù)據(jù)庫(kù)，然后啟用付費(fèi)訂閱或一次性訪問(wèn)它們的集合。2022年10月，臭名昭著的勒索軟件組織LockBit入侵了一家醫(yī)療保健公司，并竊取了其包含醫(yī)療信息的用戶數(shù)據(jù)庫(kù)。他們不僅在暗網(wǎng)上出售對(duì)這些信息的訂閱——大概他們?cè)谕粋€(gè)黑市上購(gòu)買(mǎi)了初始訪問(wèn)權(quán)。

一種暗網(wǎng)服務(wù)，提供對(duì)包含被盜數(shù)據(jù)的數(shù)據(jù)庫(kù)的付費(fèi)訪問(wèn)

暴力攻擊

在某些情況下，網(wǎng)絡(luò)罪犯甚至不需要竊取數(shù)據(jù)庫(kù)就可以找到您的密碼并侵入您的帳戶。他們可以使用暴力攻擊，換句話說(shuō)，嘗試數(shù)千種典型的密碼變體，直到其中一種有效。是的，這聽(tīng)起來(lái)不太可靠。但他們不需要遍歷所有可能的組合——有某些工具（Wordlist Generators）可以根據(jù)受害者的個(gè)人信息生成可能的常用密碼列表（所謂的暴力字典）。

這些程序看起來(lái)像是一份關(guān)于受害者的迷你問(wèn)卷。他們?cè)儐?wèn)姓名、姓氏、出生日期、伴侶、孩子甚至寵物的個(gè)人信息。攻擊者甚至可以添加他們知道的關(guān)于目標(biāo)的額外關(guān)鍵字，這些關(guān)鍵字可以被添加到組合中。使用這種相關(guān)詞、名稱、日期和其他數(shù)據(jù)的組合，密碼字典生成器創(chuàng)建了數(shù)千個(gè)密碼變體，攻擊者稍后在登錄時(shí)嘗試使用這些變體。

可以根據(jù)有關(guān)目標(biāo)受害者的已知信息為暴力攻擊生成字典。

要使用這種方法，網(wǎng)絡(luò)犯罪分子首先需要進(jìn)行研究——這時(shí)那些泄露的數(shù)據(jù)庫(kù)可能會(huì)派上用場(chǎng)。它們可能包含出生日期、地址或“秘密問(wèn)題”的答案等信息。數(shù)據(jù)的另一個(gè)來(lái)源是社交網(wǎng)絡(luò)中的過(guò)度分享。一些看起來(lái)絕對(duì)微不足道的東西，比如一張12月6日的照片，上面寫(xiě)著“今天是我心愛(ài)的小狗的生日”。

密碼泄露或暴力破解的可能后果

有一些明顯的后果：網(wǎng)絡(luò)犯罪分子可以接管您的帳戶并持有它以勒索贖金，用它來(lái)欺騙您的聯(lián)系人和網(wǎng)友，或者，如果他們能夠獲得您的銀行網(wǎng)站或應(yīng)用程序的密碼，則有可能清空您的帳戶。然而，有時(shí)他們的意圖并不那么直接。

例如，隨著越來(lái)越多的游戲引入游戲內(nèi)貨幣，越來(lái)越多的用戶將他們的支付方式與他們的賬戶相關(guān)聯(lián)。這使得游戲玩家成為黑客的目標(biāo)。通過(guò)獲得對(duì)游戲帳戶的訪問(wèn)權(quán)限，他們可以竊取游戲中的貴重物品，如皮膚、稀有物品或內(nèi)部游戲貨幣，或?yàn)E用受害者的信用卡數(shù)據(jù)。

在搜索您的帳戶時(shí)可以獲得的泄露的數(shù)據(jù)庫(kù)和信息不僅可以用于經(jīng)濟(jì)利益，還可以用于聲譽(yù)損害和其他類型的社會(huì)損害。如果您是名人，您可能會(huì)被勒索并面臨選擇：泄露個(gè)人信息（這可能會(huì)影響您的聲譽(yù)）或損失金錢(qián)。

即使您不是名人，也可能成為受害者——在網(wǎng)上泄露某人的身份信息的行為——例如他們的真實(shí)姓名、家庭住址、工作場(chǎng)所、電話、財(cái)務(wù)和其他個(gè)人信息。這類攻擊的范圍從相對(duì)無(wú)害的攻擊，例如以您的名義注冊(cè)到無(wú)數(shù)的郵件列表或偽造的外賣(mài)訂單，到更危險(xiǎn)的攻擊，例如各種形式的網(wǎng)絡(luò)欺詐、身份盜用，甚至是當(dāng)面跟蹤.

最后，如果您對(duì)個(gè)人帳戶和工作帳戶使用相同的密碼，網(wǎng)絡(luò)犯罪分子可以接管您的公司電子郵件并將其用于商業(yè)電子郵件泄露計(jì)劃甚至?xí)l(fā)起針對(duì)性的攻擊。

如何保護(hù)您的帳戶免受不必要的訪問(wèn)

首先-始終牢記密碼使用原則：

不要為多個(gè)帳戶重復(fù)使用相同的密碼；

讓你的密碼又長(zhǎng)又復(fù)雜；

安全地存放密碼；

在第一次聽(tīng)到有關(guān)使用此密碼保護(hù)的服務(wù)或網(wǎng)站發(fā)生數(shù)據(jù)泄露的消息時(shí)，立即更改密碼。

主流的密碼管理器軟件可以幫助您完成所有這些任務(wù)并可以實(shí)時(shí)監(jiān)控您所有密碼的安全性。有些密碼管理器甚至提供檢查泄漏是否真的發(fā)生的服務(wù)。一般稱為數(shù)據(jù)泄漏檢查器，該功能可以讓您檢查您的電子郵件是否已在某處被盜的數(shù)據(jù)庫(kù)中被發(fā)現(xiàn)。如果確實(shí)已泄露，您將收到一份泄漏站點(diǎn)列表、公開(kāi)數(shù)據(jù)的類型（個(gè)人、銀行、在線活動(dòng)歷史記錄等），以及如何處理的建議。

這里有一些額外的建議：

1、盡可能啟用雙因素身份驗(yàn)證。它提供了額外的安全層，可以防止黑客訪問(wèn)您的帳戶——即使有人設(shè)法獲取了您的登錄名和密碼。

2、設(shè)置您的社交網(wǎng)絡(luò)以獲得更好的隱私。這將使查找有關(guān)您的信息變得更加困難，因此使用暴力字典來(lái)攻擊您的帳戶變得更加復(fù)雜。

3、停止過(guò)度分享個(gè)人信息，即使只有朋友可以看到。今天的朋友可能會(huì)成為明天的敵人。

本文翻譯自：https://www.kaspersky.com/blog/how-criminals-can-get-your-password/46716/