本文来自嘶吼网,作者/丝绸之路。
对于我们大多数人来说,密码只是无数在线服务最常用的身份验证方法。但对于网络犯罪分子而言,它的意义远不止于此——进入他人生活的捷径、至关重要的作案工具以及可以出售的商品。
知道密码后,骗子不仅可以获取您的帐户、数据、金钱,甚至身份;他们还可以将您作为薄弱环节来攻击您网络上的朋友、亲戚,甚至您工作或管理/拥有的公司。为防止这种情况,您首先需要了解外人如何窃取您的密码。
您的密码如何落入网络罪犯之手?
有一种普遍的误解认为,要将您的密码提供给网络骗子,您需要犯一个错误——从互联网下载并运行未经检查的文件,打开来自未知发件人的文档,或者在某些可疑网站上输入您的凭据。诚然,所有这些行为模式都可以让攻击者的生活更轻松,但也有其他情况。以下是获取帐户访问权限的最常见网络犯罪方法。
网络钓鱼
这确实是主要依赖人为错误的凭证收集方法之一。每天都会出现数百个网络钓鱼站点,尤其是在数以千计指向这些钓鱼网站的邮件的帮助下。但是,如果您出于某种原因认为您永远不会被网络钓鱼的把戏所欺骗——那您就错了。该方法几乎与互联网本身一样古老,因此网络犯罪分子有足够的时间来开发大量的社会工程学技巧和伪装策略。即使是专业人士,有时也无法一眼就辨别出钓鱼邮件和真实邮件。
恶意软件
窃取凭据的另一种常见方法是使用恶意软件。根据我们的统计,很大一部分活跃的恶意软件由木马窃取程序组成,其主要目的是等待用户登录某个站点或服务,然后复制他们的密码并将其发回给其作者。如果您不使用电脑安全防护解决方案,特洛伊木马可能会在您的计算机上隐藏多年而不被发现,那么您不会知道出了什么问题,因为它们不会造成任何明显的伤害,只是默默地执行它们的工作。
窃取密码的特洛伊木马并不是唯一寻找密码的恶意软件。有时,网络犯罪分子会在网站上注入网络浏览器并窃取用户输入的任何内容,包括凭据、姓名、银行卡详细信息等。
第三方泄密
成为一些不安全的互联网服务的用户或会泄露包含其客户数据的公司的客户也会泄露您的密码。当然,认真对待网络安全的公司根本不会存储您的密码,或者至少会以加密的形式存储。但你永远无法确定是否采取了足够的安全保护措施。例如,今年SuperVPN泄露的信息包含2100万用户的个人详细信息和登录凭据。
此外,有些公司根本无法避免存储您的明文密码。是的,我说的是臭名昭著的LastPass密码管理实用程序黑客攻击。根据最新信息,一个未知的攻击者使用一些客户数据访问了基于云的存储,包括客户保险库的备份。是的,这些保险库已正确加密,LastPass从未存储甚至不知道解密密钥。但是,如果LastPass的客户使用已经从其他来源泄露的密码登录了他们的保险库怎么办?如果他们重复使用不安全的密码,那么现在网络犯罪分子将能够一次访问他们的所有帐户。
初始访问代理
在这里,我们来到了另一个被盗密码的来源——黑市。现代网络犯罪分子更喜欢专注于某些领域。他们可能会窃取您的密码,但不一定会使用它们:批发销售密码更有利可图。购买此类密码数据库对网络犯罪分子特别有吸引力,因为它为他们提供了一个多合一的功能:用户倾向于在多个平台和帐户中使用相同的密码,通常将它们全部绑定到同一封电子邮件。因此,有了来自一个平台的密码,网络犯罪分子就可以访问受害者的许多其他帐户——从他们的游戏帐户到他们的个人电子邮件,甚至是成人网站上的私人帐户。
黑客论坛的一则广告:有人以4000美元的价格提供28万个各种游戏平台的用户名和密码
泄露的公司数据库可能包含也可能不包含凭据,也在同一个黑市上出售。此类数据库的价格因数据量和组织所在行业而异:一些密码数据库可能售价数百美元。
暗网上的某些服务会聚合泄露的密码和数据库,然后启用付费订阅或一次性访问它们的集合。2022年10月,臭名昭著的勒索软件组织LockBit入侵了一家医疗保健公司,并窃取了其包含医疗信息的用户数据库。他们不仅在暗网上出售对这些信息的订阅——大概他们在同一个黑市上购买了初始访问权。
一种暗网服务,提供对包含被盗数据的数据库的付费访问
暴力攻击
在某些情况下,网络罪犯甚至不需要窃取数据库就可以找到您的密码并侵入您的帐户。他们可以使用暴力攻击,换句话说,尝试数千种典型的密码变体,直到其中一种有效。是的,这听起来不太可靠。但他们不需要遍历所有可能的组合——有某些工具(Wordlist Generators)可以根据受害者的个人信息生成可能的常用密码列表(所谓的暴力字典)。
这些程序看起来像是一份关于受害者的迷你问卷。他们询问姓名、姓氏、出生日期、伴侣、孩子甚至宠物的个人信息。攻击者甚至可以添加他们知道的关于目标的额外关键字,这些关键字可以被添加到组合中。使用这种相关词、名称、日期和其他数据的组合,密码字典生成器创建了数千个密码变体,攻击者稍后在登录时尝试使用这些变体。
可以根据有关目标受害者的已知信息为暴力攻击生成字典。
要使用这种方法,网络犯罪分子首先需要进行研究——这时那些泄露的数据库可能会派上用场。它们可能包含出生日期、地址或“秘密问题”的答案等信息。数据的另一个来源是社交网络中的过度分享。一些看起来绝对微不足道的东西,比如一张12月6日的照片,上面写着“今天是我心爱的小狗的生日”。
密码泄露或暴力破解的可能后果
有一些明显的后果:网络犯罪分子可以接管您的帐户并持有它以勒索赎金,用它来欺骗您的联系人和网友,或者,如果他们能够获得您的银行网站或应用程序的密码,则有可能清空您的帐户。然而,有时他们的意图并不那么直接。
例如,随着越来越多的游戏引入游戏内货币,越来越多的用户将他们的支付方式与他们的账户相关联。这使得游戏玩家成为黑客的目标。通过获得对游戏帐户的访问权限,他们可以窃取游戏中的贵重物品,如皮肤、稀有物品或内部游戏货币,或滥用受害者的信用卡数据。
在搜索您的帐户时可以获得的泄露的数据库和信息不仅可以用于经济利益,还可以用于声誉损害和其他类型的社会损害。如果您是名人,您可能会被勒索并面临选择:泄露个人信息(这可能会影响您的声誉)或损失金钱。
即使您不是名人,也可能成为受害者——在网上泄露某人的身份信息的行为——例如他们的真实姓名、家庭住址、工作场所、电话、财务和其他个人信息。这类攻击的范围从相对无害的攻击,例如以您的名义注册到无数的邮件列表或伪造的外卖订单,到更危险的攻击,例如各种形式的网络欺诈、身份盗用,甚至是当面跟踪.
最后,如果您对个人帐户和工作帐户使用相同的密码,网络犯罪分子可以接管您的公司电子邮件并将其用于商业电子邮件泄露计划甚至会发起针对性的攻击。
如何保护您的帐户免受不必要的访问
首先-始终牢记密码使用原则:
不要为多个帐户重复使用相同的密码;
让你的密码又长又复杂;
安全地存放密码;
在第一次听到有关使用此密码保护的服务或网站发生数据泄露的消息时,立即更改密码。
主流的密码管理器软件可以帮助您完成所有这些任务并可以实时监控您所有密码的安全性。有些密码管理器甚至提供检查泄漏是否真的发生的服务。一般称为数据泄漏检查器,该功能可以让您检查您的电子邮件是否已在某处被盗的数据库中被发现。如果确实已泄露,您将收到一份泄漏站点列表、公开数据的类型(个人、银行、在线活动历史记录等),以及如何处理的建议。
这里有一些额外的建议:
1、尽可能启用双因素身份验证。它提供了额外的安全层,可以防止黑客访问您的帐户——即使有人设法获取了您的登录名和密码。
2、设置您的社交网络以获得更好的隐私。这将使查找有关您的信息变得更加困难,因此使用暴力字典来攻击您的帐户变得更加复杂。
3、停止过度分享个人信息,即使只有朋友可以看到。今天的朋友可能会成为明天的敌人。
本文翻译自:https://www.kaspersky.com/blog/how-criminals-can-get-your-password/46716/