Hace unos días, a muchos amigos de mi alrededor les robaron las contraseñas, y cuando las robaron, se las robaron en lotes, y muchas contraseñas de sitios web diferentes registradas por ellos mismos fueron robadas al mismo tiempo.
¿Cómo se roban las contraseñas por hackers?
En primer lugar, la cuenta es robada, la primera sospecha es el problema de que el ordenador haya sido golpeado por un caballo de Troya, los hackers pueden usar keylogging, phishing y otros métodos para robar contraseñas implantando caballos de Troya en ordenadores personales. Por ello, el autor revisó los ordenadores de varios amigos con contraseñas robadas a su alrededor y no encontró caballos de Troya, y era evidente que sus cuentas habían sido robadas a través de caballos de Troya.
Dado que no es un problema de tu propio ordenador, es probable que la web registrada haya sido "arrastrada por alguien para ser arrastrada a la base de datos". Aquí tienes una explicación de la base de datos de arrastre; la llamada "biblioteca de arrastre" es que los datos de usuario del sitio web son robados mediante inyección SQL u otros medios, y se obtienen los nombres de usuario y la contraseña de este sitio web, y muchos sitios web conocidos han emitido eventos de "biblioteca de arrastre", como CSDN, Tianya, Xiaomi, etc.; los hackers intercambian y centralizan las bases de datos arrastradas, formando una llamada "biblioteca de trabajo social" tras otra. La base de datos de trabajo social almacena mucha información de contraseñas de la cuenta del sitio web "arrastrado", así que el autor buscó la información de la cuenta de un amigo en una web de base de datos de trabajo social que suelen ser usadas por hackers, y efectivamente, encontró la contraseña filtrada de la cuenta:
Se puede ver en la captura de pantalla que la contraseña del amigo fue filtrada desde 51CTO, y la contraseña estaba cifrada con MD5, pero no es imposible resolver esta contraseña, y hay muchas páginas web en Internet que pueden consultar el texto original de MD5, como buscar texto cifrado en CMD5 y descubrir rápidamente el texto original de la contraseña:
Tras un descifrado exitoso, inicia sesión en la cuenta relevante de tu amigo con la contraseña y, efectivamente, el inicio de sesión fue exitoso. Parece que se ha encontrado la forma en que se filtró la contraseña. Así que ahora la pregunta es, ¿cómo hackearon los hackers múltiples páginas web de amigos?
Sorprendente base de datos subterránea
En este momento, es hora de sacrificar otra herramienta nuestra (www.reg007.com), porque muchas personas tienen la costumbre de usar la misma dirección de correo electrónico para registrar muchos negocios, y a través de esta web puedes consultar qué página web ha sido registrada con un correo determinado; la primera vez que vi esta web, mis amigos y yo nos quedamos atónitos, la siguiente es la situación al consultar un correo determinado, un total de 21 sitios web registrados fueron consultados:
De hecho, muchos amigos también tienen este hábito, es decir, para facilitar la memoria, registran todas las cuentas de sitios web con la misma cuenta y contraseña, ya sea un foro pequeño o un centro comercial con propiedades como JD.com y Tmall. Esta práctica es muy insegura, y si uno de los sitios cae, todas las cuentas estarán en riesgo. Especialmente tras la filtración de la base de datos CSDN en 2011, cada vez más sitios web han filtrado bases de datos, y estas bases de datos filtradas pueden encontrarse en sitios web a voluntad. Puedes pensarlo, cuando la contraseña de tu cuenta sea la misma, a través de los pasos anteriores puedes saber fácilmente a qué universidad has ido (Xuexin.com), qué trabajo has hecho (Future Worry-free, Zhilian), qué has comprado (JD.com, Taobao), a quién conoces (agenda en la nube) y qué has dicho (QQ, WeChat)
La siguiente figura muestra parte de la información de la base de datos de trabajo social intercambiada por algunos sitios web clandestinos:
Lo que se ha dicho arriba no es alarmista, porque hay demasiados sitios web que en realidad pueden "ocultar credenciales", y también hay muchos ejemplos de "blanqueo de bancos", "envase de credenciales" y "robo bancario" de industrias negras. Aquí tienes una explicación de estos términos: tras obtener una gran cantidad de datos de usuarios mediante "arrastrar la biblioteca", los hackers monetizarán datos valiosos de usuarios mediante una serie de medios técnicos y la cadena negra de la industria, que normalmente se llama "lavado de bases de datos", y finalmente el hacker intentará iniciar sesión en otros sitios web con los datos obtenidos por el hacker, lo que se denomina "relleno de credenciales", porque a muchos usuarios les gusta usar una contraseña unificada de usuario, y el "relleno de credenciales" suele ser muy satisfactorio.
Buscando en la plataforma de envío de vulnerabilidades "Dark Cloud", se puede encontrar que muchos sitios web tienen vulnerabilidades en relleno de credenciales y, al mismo tiempo, los bandos ofensivo y defensivo se han defendido repetidamente entre sí, y el método de ataque llamado "relleno de credenciales" siempre ha sido especialmente popular en el círculo de la industria negra por sus características como "simple", "áspero" y "efectivo".
El autor se encontró en una ocasión con un incidente a gran escala de relleno de credenciales en un conocido buzón en China durante el proyecto, y a continuación se presentan algunos extractos de los correos electrónicos intercambiados en ese momento:
Análisis de anomalías
Desde aproximadamente las 10 de la mañana hasta el final de las 21:10 de la tarde, hay un inicio de sesión anormal evidente, que básicamente se determina que es hackeo. Los hackers utilizan programas automáticos de inicio de sesión para iniciar un gran número de solicitudes de inicio de sesión desde la misma IP en un corto periodo de tiempo, con solicitudes simultáneas y alta frecuencia, hasta más de 600 solicitudes de inicio de sesión por minuto. A lo largo del día de hoy, se produjeron un total de 225.000 inicios de sesión exitosos y 43.000 fallidos, involucrando unas 130.000 cuentas (2 accesos por cuenta);
El hacker inició sesión desde la versión básica de WAP, cambió a la versión estándar tras iniciar sesión con éxito y desactivó la notificación de inicio de sesión en la versión estándar, activando así un recordatorio por mensaje de texto con modificaciones en el número de teléfono móvil vinculado a la cuenta. En el análisis de los registros, no se encontró ningún otro comportamiento después de que el hacker modificara la notificación de inicio de sesión, y no envió ningún correo electrónico tras iniciar sesión.
Los resultados preliminares del análisis son los siguientes:
1. El hacker utiliza el método estándar de autenticación nombre de usuario y contraseña para iniciar sesión, y la tasa de éxito de autenticación es muy alta. Al consultar los registros de los últimos días, estos usuarios no encontraron intentos de inicio de sesión. Es decir, la contraseña de usuario se obtiene por otros medios, no por la fuerza bruta descifrando la contraseña del sistema de correo;
2. El lugar de registro de los usuarios robados por hackers está en todo el país, sin características evidentes ni características evidentes del momento de registro;
3. Algunos nombres de usuario y contraseñas interceptados al capturar paquetes muestran que las contraseñas de diferentes usuarios son diferentes, no hay similitud y no son simples contraseñas; Seleccioné algunas contraseñas de usuario e intenté iniciar sesión en el buzón 163, en el Marco y en otras páginas web, y vi que el inicio de sesión había sido exitoso;
4. Existen muchas fuentes de direcciones IP de acceso a hackers, incluyendo Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan y otras ciudades. Después de bloquear la IP de inicio de sesión anormal, los hackers pueden cambiar rápidamente la IP de inicio de sesión, haciendo que nuestro bloqueo se vuelva ineficaz rápidamente. Solo podemos seguir a los hackers y, según las características de frecuencia, solo implementaremos el bloqueo después de alcanzar cierto número.
5. El estado de actividad anterior del usuario no se comparará hasta mañana. Pero a juzgar por la situación actual, mi suposición inicial personal es que debería haber usuarios activos e inactivos, y la mayoría deberían ser usuarios inactivos.
A partir del análisis anterior, se puede ver básicamente que los hackers ya tienen a mano la información de usuario y contraseña de estos usuarios, y la mayoría de ellos son correctos. Las contraseñas pueden ser causadas por la filtración de varias contraseñas de red anteriormente.
Consejos de seguridad
Finalmente, el autor pregunta, ¿quieres que tu contraseña esté en manos de otra persona, o existe en la base de datos de otra persona?
Para proteger la contraseña de todos, el autor aquí te da algunas sugerencias de contraseñas,
1. Cambiar tu contraseña regularmente;
2. La contraseña de la cuenta de sitios web importantes y la contraseña de los sitios no importantes deben estar separadas, como Tmall, JD.com, etc.; es mejor hacer que la contraseña de la cuenta sea diferente;
3. La contraseña tiene cierta complejidad, como más de 8 dígitos, incluyendo mayúsculas y minúsculas y símbolos especiales; para facilitar la memoria, puedes usar software criptográfico especial para gestionar tu propia contraseña, siendo el más famoso el keepass;
Espero que, gracias a este contenido, todos puedan comprender mejor la seguridad de las contraseñas, para proteger mejor su privacidad personal y la seguridad de sus propiedades.
|
Publicado en 25/11/2014 18:10:15
|
|
|
|
