For et par dage siden fik mange venner omkring mig deres adgangskoder stjålet, og da de blev stjålet, blev de stjålet i partier, og mange forskellige adgangskoder til hjemmesider, som de selv havde registreret, blev stjålet på samme tid.
Hvordan bliver adgangskoder stjålet af hackere?
For det første bliver kontoen stjålet, den første mistanke er problemet med, at computeren bliver ramt af en trojansk hest; hackere kan bruge keylogging, phishing og andre metoder til at stjæle adgangskoder ved at implantere trojanske heste i personlige computere. Derfor tjekkede forfatteren computerne hos flere venner med stjålne adgangskoder omkring sig og fandt ingen trojanske heste, og det var tydeligt, at deres konti var blevet stjålet gennem trojanske heste.
Da det ikke er et problem med din egen computer, er det sandsynligt, at den hjemmeside, der er blevet registreret, er blevet "trukket af nogen for at blive trukket ind i databasen", her er en forklaring på drag-databasen, det såkaldte "drag-bibliotek" er, at brugerdataene på hjemmesiden bliver stjålet ved SQL-injektion eller andre midler, og brugernavn og adgangskodeoplysninger for dette website er indhentet, og mange velkendte hjemmesider har udsendt "drag library"-begivenheder, såsom CSDN, Tianya, Xiaomi osv., hackere vil udveksle og centralisere de nedtrukne databaser og danne det såkaldte "socialrådgiverbibliotek" efter det andet, Socialrådgiverdatabasen gemmer en masse adgangskodeinformation fra den "trukkede" hjemmeside, så forfatteren søgte efter en vens kontooplysninger på en socialrådgiverdatabase, som ofte bruges af hackere, og ganske rigtigt fandt han den lækkede kontoadgangskode:
Det kan ses på skærmbilledet, at vennens adgangskode blev lækket fra 51CTO, og adgangskoden blev krypteret med MD5, men det er ikke umuligt at løse denne adgangskode, og der findes mange hjemmesider på internettet, der kan forespørge den oprindelige tekst i MD5, såsom at søge efter chiffertekst på CMD5 og hurtigt finde den oprindelige tekst af adgangskoden:
Efter vellykket dekryptering skal du logge ind på din vens relevante konto med adgangskoden, og ganske rigtigt, login lykkedes. Det ser ud til, at måden adgangskoden blev lækket på, er blevet fundet. Så nu er spørgsmålet, hvordan hackere hackede flere venners hjemmesider?
Chokerende undergrundsdatabase
På dette tidspunkt er det tid til at ofre endnu et af vores værktøjer (www.reg007.com), fordi mange har for vane at bruge den samme e-mailadresse til at registrere mange virksomheder, og gennem denne hjemmeside kan du forespørge, hvilken hjemmeside der er registreret med en bestemt e-mail. Første gang jeg så denne hjemmeside, blev mine venner og jeg målløse, og situationen er, da vi forespørgte en bestemt e-mail, i alt blev 21 registrerede hjemmesider forespurgt:
Faktisk har mange venner også en sådan vane, nemlig for at lette hukommelsen, registrerer de alle hjemmesidekonti med samme konto og adgangskode, uanset om det er et lille forum eller et indkøbscenter med ejendomme som JD.com og Tmall. Denne praksis er meget usikker, og hvis en af siderne falder, vil alle konti være i fare. Især efter CSDN-databaselækagen i 2011 har flere og flere hjemmesider lækket databaser, og disse lækkede databaser kan findes på hjemmesider efter behag. Du kan tænke over det, når din kontoadgangskode er den samme, og gennem ovenstående trin kan du nemt vide, hvilket universitet du har gået på (Xuexin.com), hvilket arbejde du har udført (Future Worry-free, Zhilian), hvad du har købt (JD.com, Taobao), hvem du kender (cloud adressebog), og hvad du har sagt (QQ, WeChat)
Følgende figur viser noget af de sociale arbejdsdatabaseoplysninger, der udveksles af nogle undergrundswebsites:
Det, der siges ovenfor, er ikke alarmistisk, fordi der er for mange hjemmesider, der kan "proppe legitimationsoplysninger" ind i virkeligheden, og der findes også mange eksempler på storskala "bankvaskning", "credential stuffing" og "bankswiping" af sorte industrier. Her er en forklaring på disse termer: Efter at have opnået en stor mængde brugerdata gennem "at trække biblioteket" vil hackere tjene penge på værdifulde brugerdata gennem en række tekniske metoder og den sorte industrikæde, som normalt kaldes "database washing", og til sidst vil hackeren forsøge at logge ind på andre hjemmesider med de data, hackeren har fået, hvilket kaldes "credential stuffing", fordi mange brugere foretrækker at bruge et samlet brugernavn, og "credential stuffing" ofte er meget givende.
Når man søger på sårbarhedsindsendelsesplatformen "Dark Cloud", kan man finde ud af, at mange hjemmesider har sårbarheder med credential stuffing, og samtidig har den offensive og defensive side gentagne gange forsvaret sig mod hinanden, og angrebsmetoden "credential stuffing" har altid været særligt populær i den sorte branche på grund af dens karakteristika som "simpel", "grov" og "effektiv".
Forfatteren stødte engang på en storstilet hændelse med at stoppe legitimationsoplysninger i en velkendt postkasse i Kina under projektet, og følgende er nogle uddrag fra de e-mails, der blev udvekslet på det tidspunkt:
Anomalianalyse
Fra omkring klokken 10 i morges til slutningen af cirka 21:10 om aftenen er der en åbenlys unormal login, som grundlæggende fastslås at være hacking. Hackere bruger automatiske loginprogrammer til at igangsætte et stort antal loginforespørgsler fra samme IP på kort tid, med samtidige anmodninger og høj anmodningsfrekvens, op til mere end 600 loginanmodninger per minut. I løbet af dagen i dag skete der i alt 225.000 succesfulde logins og 43.000 mislykkede logins, hvilket involverede omkring 130.000 konti (2 logins pr. konto);
Hackeren loggede ind fra basisversionen af WAP, skiftede til standardversionen efter vellykket login og slog loginnotifikationen fra i standardversionen, hvilket udløste en sms-påmindelse med ændringer i det mobilnummer, der var knyttet til kontoen. Ifølge loganalysen blev der ikke fundet anden adfærd efter hackerens ændring af login-notifikationen, og hackeren sendte ingen e-mails efter login.
De foreløbige analyseresultater er som følger:
1. Hackeren bruger den standard brugernavn-adgangskode-autentificeringsmetode til at logge ind, og godkendelsessuccesraten er meget høj. Ved at tjekke logs fra de seneste dage blev der ikke fundet nogen loginforsøg blandt disse brugere. Det vil sige, brugeradgangskoden opnås på andre måder, ikke ved brute force-knæk adgangskoden til e-mailsystemet;
2. Registreringsstedet for brugere stjålet af hackere er over hele landet, uden åbenlyse karakteristika, og der er ingen åbenlyse karakteristika for registreringstiden;
3. Nogle brugernavne og adgangskoder, der opsnappes ved at fange pakker, viser, at adgangskoderne for forskellige brugere er forskellige, der er ingen lighed, og de er ikke simple adgangskoder; Jeg valgte nogle brugeradgangskoder og forsøgte at logge ind på 163 mailbox, Dianping og andre hjemmesider, og fandt ud af, at login lykkedes;
4. Der findes mange kilder til hacker-login-IP-adresser, herunder Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan og andre byer. Efter vi blokerer den unormale login-IP, kan hackere hurtigt ændre login-IP'en, hvilket gør vores blokering hurtigt ineffektiv. Vi kan kun følge hackerne, og ifølge frekvenskarakteristika vil vi kun implementere blokering, når vi har nået et bestemt tal.
5. Brugerens tidligere aktivitetsstatus vil ikke blive matchet før i morgen. Men ud fra den nuværende situation er mit personlige foreløbige gæt, at der burde være aktive og inaktive brugere, og de fleste af dem burde være inaktive brugere.
Ud fra ovenstående analyse kan det grundlæggende ses, at hackere allerede har brugernavn- og adgangskodeoplysninger på disse brugere ved hånden, og de fleste af dem har ret. Adgangskoder kan skyldes lækage af forskellige netværksadgangskodeoplysninger tidligere.
Sikkerhedsråd
Til sidst spørger forfatteren: Vil du have, at din adgangskode skal være i andres hænder, eller findes den i en andens database?
For at beskytte alles adgangskoder giver forfatteren her dig nogle adgangskodeforslag,
1. Skift regelmæssigt din adgangskode;
2. Adgangskoden til vigtige hjemmesider og adgangskoden til ikke-vigtige hjemmesider skal adskilles, såsom Tmall, JD.com osv., det er bedst at gøre kontoadgangskoden forskellig;
3. Adgangskoden har en vis kompleksitet, såsom mere end 8 cifre, inklusive store og små bogstaver samt specielle symboler; for at lette hukommelsen kan du bruge speciel kryptografisk software til at administrere din egen adgangskode, den mest kendte er keepass;
Jeg håber, at alle gennem ovenstående indhold kan få en bedre forståelse af adgangskodesikkerhed, så de bedre kan beskytte deres personlige privatliv og ejendomssikkerhed.
|
Opslået på 25/11/2014 18.10.15
|
|
|
|
