Πριν από λίγες μέρες, πολλοί φίλοι γύρω μου έκλεψαν τους κωδικούς πρόσβασής τους και όταν τους έκλεψαν, κλάπηκαν σε παρτίδες και πολλοί διαφορετικοί κωδικοί πρόσβασης ιστοτόπων που είχαν καταχωρηθεί από τους ίδιους κλάπηκαν ταυτόχρονα.
Πώς κλέβονται οι κωδικοί πρόσβασης από τους χάκερ;
Πρώτα απ 'όλα, ο λογαριασμός έχει κλαπεί, η πρώτη υποψία είναι το πρόβλημα του υπολογιστή που χτυπιέται από δούρειο ίππο, οι χάκερ μπορούν να χρησιμοποιήσουν keylogging, phishing και άλλες μεθόδους για να κλέψουν κωδικούς πρόσβασης εμφυτεύοντας δούρειους ίππους σε προσωπικούς υπολογιστές. Ως εκ τούτου, ο συγγραφέας έλεγξε τους υπολογιστές αρκετών φίλων με κλεμμένους κωδικούς πρόσβασης γύρω του και δεν βρήκε δούρειους ίππους και ήταν προφανές ότι οι λογαριασμοί τους είχαν κλαπεί μέσω δούρειων ίππων.
Δεδομένου ότι δεν είναι πρόβλημα με τον δικό σας υπολογιστή, τότε είναι πιθανό ο ιστότοπος που έχει εγγραφεί να έχει "συρθεί από κάποιον για να συρθεί στη βάση δεδομένων", εδώ είναι μια εξήγηση της βάσης δεδομένων μεταφοράς, η λεγόμενη "βιβλιοθήκη μεταφοράς" είναι ότι τα δεδομένα χρήστη του ιστότοπου κλέβονται με ένεση SQL ή άλλα μέσα και λαμβάνονται οι πληροφορίες ονόματος χρήστη και κωδικού πρόσβασης αυτού του ιστότοπου και πολλοί γνωστοί ιστότοποι έχουν εκδώσει συμβάντα "drag library", όπως CSDN, Tianya, Xiaomi κ.λπ., οι χάκερ θα ανταλλάξουν και θα συγκεντρώσουν τις βάσεις δεδομένων που έχουν συρθεί προς τα κάτω, σχηματίζοντας τη λεγόμενη "βιβλιοθήκη κοινωνικής εργασίας" μετά την άλλη, Η βάση δεδομένων κοινωνικής εργασίας αποθηκεύει πολλές πληροφορίες κωδικού πρόσβασης λογαριασμού από τον "συρόμενο" ιστότοπο, οπότε ο συγγραφέας έψαξε για τις πληροφορίες λογαριασμού ενός φίλου σε έναν ιστότοπο βάσης δεδομένων κοινωνικής εργασίας που χρησιμοποιείται συνήθως από χάκερ και σίγουρα, βρήκε τον κωδικό πρόσβασης του λογαριασμού που διέρρευσε:
Μπορεί να φανεί από το στιγμιότυπο οθόνης ότι ο κωδικός πρόσβασης του φίλου διέρρευσε από το 51CTO και ο κωδικός πρόσβασης ήταν κρυπτογραφημένος με MD5, αλλά δεν είναι αδύνατο να λυθεί αυτός ο κωδικός πρόσβασης και υπάρχουν πολλοί ιστότοποι στο Διαδίκτυο που μπορούν να ρωτήσουν το αρχικό κείμενο του MD5, όπως η αναζήτηση κρυπτογραφημένου κειμένου στο CMD5 και η γρήγορη ανακάλυψη του αρχικού κειμένου του κωδικού πρόσβασης:
Μετά την επιτυχή αποκρυπτογράφηση, συνδεθείτε στον σχετικό λογαριασμό του φίλου σας με τον κωδικό πρόσβασης και σίγουρα, η σύνδεση ήταν επιτυχής. Φαίνεται ότι ο τρόπος με τον οποίο διέρρευσε ο κωδικός πρόσβασης έχει βρεθεί. Λοιπόν, τώρα το ερώτημα είναι, πώς οι χάκερ εισέβαλαν σε πολλούς ιστότοπους φίλων;
Συγκλονιστική υπόγεια βάση δεδομένων
Αυτή τη στιγμή, είναι καιρός να θυσιάσουμε ένα άλλο εργαλείο μας (www.reg007.com), επειδή πολλοί άνθρωποι έχουν τη συνήθεια να χρησιμοποιούν την ίδια διεύθυνση email για να εγγράψουν πολλές επιχειρήσεις και μέσω αυτού του ιστότοπου μπορείτε να ρωτήσετε ποιος ιστότοπος έχει εγγραφεί με ένα συγκεκριμένο email, την πρώτη φορά που είδα αυτόν τον ιστότοπο, οι φίλοι μου και εγώ μείναμε έκπληκτοι, η παρακάτω είναι η κατάσταση κατά την υποβολή ερωτήματος σε ένα συγκεκριμένο email, ζητήθηκαν συνολικά 21 εγγεγραμμένοι ιστότοποι:
Μάλιστα, μια τέτοια συνήθεια έχουν και πολλοί φίλοι, δηλαδή για να διευκολύνουν τη μνήμη, θα καταχωρούν όλους τους λογαριασμούς του ιστότοπου με τον ίδιο λογαριασμό και κωδικό πρόσβασης, είτε πρόκειται για ένα μικρό φόρουμ, είτε για ένα εμπορικό κέντρο που περιλαμβάνει ακίνητα όπως το JD.com και το Tmall. Αυτή η πρακτική είναι πολύ επικίνδυνη και εάν ένας από τους ιστότοπους πέσει, όλοι οι λογαριασμοί θα κινδυνεύσουν. Ειδικά μετά τη διαρροή της βάσης δεδομένων CSDN το 2011, όλο και περισσότεροι ιστότοποι έχουν διαρρεύσει βάσεις δεδομένων και αυτές οι βάσεις δεδομένων που διέρρευσαν μπορούν να βρεθούν σε ιστότοπους κατά βούληση. Μπορείτε να το σκεφτείτε, όταν ο κωδικός πρόσβασης του λογαριασμού σας είναι ο ίδιος, μέσα από τα παραπάνω βήματα, μπορείτε εύκολα να μάθετε σε ποιο πανεπιστήμιο έχετε πάει (Xuexin.com), τι δουλειά έχετε κάνει (Future Worry-free, Zhilian), τι έχετε αγοράσει (JD.com, Taobao), ποιον γνωρίζετε (βιβλίο διευθύνσεων cloud) και τι έχετε πει (QQ, WeChat)
Το παρακάτω σχήμα δείχνει μερικές από τις πληροφορίες της βάσης δεδομένων κοινωνικής εργασίας που ανταλλάσσονται από ορισμένους υπόγειους ιστότοπους:
Αυτό που λέγεται παραπάνω δεν είναι ανησυχητικό, επειδή υπάρχουν πάρα πολλοί ιστότοποι που μπορούν να «γεμίσουν διαπιστευτήρια» στην πραγματικότητα, και υπάρχουν επίσης πολλά παραδείγματα μεγάλης κλίμακας «ξεπλύματος τραπεζών», «γεμίσματος διαπιστευτηρίων» και «τραπεζικού σάρωσης» μαύρων βιομηχανιών. Ακολουθεί μια εξήγηση αυτών των όρων, αφού αποκτήσουν μεγάλο όγκο δεδομένων χρήστη μέσω του "σύροντας τη βιβλιοθήκη", οι χάκερ θα δημιουργήσουν έσοδα από πολύτιμα δεδομένα χρηστών μέσω μιας σειράς τεχνικών μέσων και της αλυσίδας της μαύρης βιομηχανίας, η οποία συνήθως ονομάζεται "πλύσιμο βάσης δεδομένων" και, τέλος, ο χάκερ θα προσπαθήσει να συνδεθεί σε άλλους ιστότοπους με τα δεδομένα που έλαβε ο χάκερ, το οποίο ονομάζεται "γέμισμα διαπιστευτηρίων", επειδή σε πολλούς χρήστες αρέσει να χρησιμοποιούν έναν ενοποιημένο κωδικό πρόσβασης ονόματος χρήστη και το "γέμισμα διαπιστευτηρίων" είναι συχνά πολύ ικανοποιητικό.
Αναζητώντας στην πλατφόρμα υποβολής ευπάθειας "Dark Cloud", μπορεί να διαπιστωθεί ότι πολλοί ιστότοποι έχουν ευπάθειες πλήρωσης διαπιστευτηρίων και ταυτόχρονα, η επιθετική και η αμυντική πλευρά έχουν επανειλημμένα αμυνθεί η μία εναντίον της άλλης και η μέθοδος επίθεσης του "γεμίσματος διαπιστευτηρίων" ήταν πάντα ιδιαίτερα δημοφιλής στον κύκλο της μαύρης βιομηχανίας λόγω των χαρακτηριστικών της όπως "απλό", "τραχύ" και "αποτελεσματικό".
Ο συγγραφέας αντιμετώπισε κάποτε ένα περιστατικό γεμίσματος διαπιστευτηρίων μεγάλης κλίμακας σε ένα γνωστό γραμματοκιβώτιο στην Κίνα κατά τη διάρκεια του έργου και τα παρακάτω είναι μερικά αποσπάσματα από τα email που ανταλλάχθηκαν εκείνη την εποχή:
Ανάλυση ανωμαλιών
Από τις 10 περίπου σήμερα το πρωί έως το τέλος περίπου στις 21:10 το βράδυ, υπάρχει μια προφανής μη φυσιολογική σύνδεση, η οποία βασικά προσδιορίζεται ότι είναι hacking. Οι χάκερ χρησιμοποιούν προγράμματα αυτόματης σύνδεσης για να ξεκινήσουν μεγάλο αριθμό αιτημάτων σύνδεσης από την ίδια IP σε σύντομο χρονικό διάστημα, με ταυτόχρονα αιτήματα και υψηλή συχνότητα αιτημάτων, έως και περισσότερα από 600 αιτήματα σύνδεσης ανά λεπτό. Καθ' όλη τη διάρκεια της ημέρας σήμερα, σημειώθηκαν συνολικά 225.000 επιτυχημένες συνδέσεις και 43.000 αποτυχημένες συνδέσεις, που αφορούσαν περίπου 130.000 λογαριασμούς (2 συνδέσεις ανά λογαριασμό).
Ο χάκερ συνδέθηκε από τη βασική έκδοση του WAP, άλλαξε στην τυπική έκδοση μετά την επιτυχή σύνδεση και απενεργοποίησε την ειδοποίηση σύνδεσης στην τυπική έκδοση, ενεργοποιώντας έτσι μια υπενθύμιση μηνύματος κειμένου με τροποποιήσεις στον αριθμό κινητού τηλεφώνου που είναι συνδεδεμένος με τον λογαριασμό. Από την ανάλυση του αρχείου καταγραφής, δεν βρέθηκε άλλη συμπεριφορά αφού ο χάκερ τροποποίησε την ειδοποίηση σύνδεσης και ο χάκερ δεν έστειλε κανένα μήνυμα ηλεκτρονικού ταχυδρομείου μετά τη σύνδεση.
Τα αποτελέσματα της προκαταρκτικής ανάλυσης έχουν ως εξής:
1. Ο χάκερ χρησιμοποιεί την τυπική μέθοδο ελέγχου ταυτότητας ονόματος χρήστη-κωδικού πρόσβασης για να συνδεθεί και το ποσοστό επιτυχίας ελέγχου ταυτότητας είναι πολύ υψηλό. Ρωτώντας τα αρχεία καταγραφής των τελευταίων ημερών, δεν βρέθηκαν προσπάθειες σύνδεσης από αυτούς τους χρήστες. Δηλαδή, ο κωδικός πρόσβασης χρήστη αποκτάται με άλλα μέσα, όχι με ωμή βία σπάζοντας τον κωδικό πρόσβασης του συστήματος email.
2. Ο τόπος εγγραφής των χρηστών που έχουν κλαπεί από χάκερ βρίσκεται σε όλη τη χώρα, χωρίς εμφανή χαρακτηριστικά και δεν υπάρχουν προφανή χαρακτηριστικά του χρόνου εγγραφής.
3. Ορισμένα ονόματα χρήστη και κωδικοί πρόσβασης που υποκλαπούν με τη λήψη πακέτων δείχνουν ότι οι κωδικοί πρόσβασης διαφορετικών χρηστών είναι διαφορετικοί, δεν υπάρχει ομοιότητα και δεν είναι απλοί κωδικοί πρόσβασης. Επέλεξα μερικούς κωδικούς πρόσβασης χρήστη και προσπάθησα να συνδεθώ στο γραμματοκιβώτιο 163, στο Dianping και σε άλλους ιστότοπους και διαπίστωσα ότι η σύνδεση ήταν επιτυχής.
4. Υπάρχουν πολλές πηγές διευθύνσεων IP σύνδεσης χάκερ, συμπεριλαμβανομένων των Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan και άλλων πόλεων. Αφού αποκλείσουμε τη μη φυσιολογική IP σύνδεσης, οι χάκερ μπορούν να αλλάξουν γρήγορα την IP σύνδεσης, με αποτέλεσμα ο αποκλεισμός μας να γίνει γρήγορα αναποτελεσματικός. Μπορούμε να ακολουθήσουμε μόνο τους χάκερ και σύμφωνα με τα χαρακτηριστικά συχνότητας, θα εφαρμόσουμε αποκλεισμό μόνο αφού φτάσουμε σε έναν συγκεκριμένο αριθμό.
5. Η προηγούμενη κατάσταση δραστηριότητας του χρήστη δεν θα αντιστοιχιστεί μέχρι αύριο. Αλλά κρίνοντας από την τρέχουσα κατάσταση, η προσωπική μου προκαταρκτική εικασία είναι ότι θα πρέπει να υπάρχουν ενεργοί και ανενεργοί χρήστες και οι περισσότεροι από αυτούς θα πρέπει να είναι ανενεργοί χρήστες.
Από την παραπάνω ανάλυση, μπορεί βασικά να φανεί ότι οι χάκερ έχουν ήδη στη διάθεσή τους τα στοιχεία ονόματος χρήστη και κωδικού πρόσβασης αυτών των χρηστών και τα περισσότερα από αυτά είναι σωστά. Οι κωδικοί πρόσβασης μπορεί να προκληθούν από τη διαρροή διαφόρων πληροφοριών κωδικού πρόσβασης δικτύου στο παρελθόν.
Συμβουλές ασφαλείας
Τέλος, ο συγγραφέας ρωτά, θέλετε ο κωδικός πρόσβασής σας να βρίσκεται στα χέρια κάποιου άλλου ή υπάρχει στη βάση δεδομένων κάποιου άλλου;
Προκειμένου να προστατεύσετε τον κωδικό πρόσβασης όλων, ο συγγραφέας εδώ σας δίνει μερικές προτάσεις κωδικών πρόσβασης,
1. Αλλάζετε τακτικά τον κωδικό πρόσβασής σας.
2. Ο κωδικός πρόσβασης λογαριασμού σημαντικών ιστότοπων και ο κωδικός πρόσβασης λογαριασμού μη σημαντικών ιστότοπων πρέπει να διαχωρίζονται, όπως Tmall, JD.com κ.λπ., είναι καλύτερο να κάνετε τον κωδικό πρόσβασης λογαριασμού διαφορετικό.
3. Ο κωδικός πρόσβασης έχει μια ορισμένη πολυπλοκότητα, όπως περισσότερα από 8 ψηφία, συμπεριλαμβανομένων κεφαλαίων και πεζών γραμμάτων και ειδικών συμβόλων, για να διευκολύνετε τη μνήμη, μπορείτε να χρησιμοποιήσετε ειδικό κρυπτογραφικό λογισμικό για να διαχειριστείτε τον δικό σας κωδικό πρόσβασης, το πιο διάσημο είναι το keepass.
Ελπίζω ότι μέσω του παραπάνω περιεχομένου, όλοι μπορούν να κατανοήσουν καλύτερα την ασφάλεια των κωδικών πρόσβασης, ώστε να προστατεύσουν καλύτερα το προσωπικό τους απόρρητο και την ασφάλεια της ιδιοκτησίας τους.
|
Δημοσιεύτηκε στις 25/11/2014 6:10:15 μ.μ.
|
|
|
|
