Néhány nappal ezelőtt sok barátom jelszavát ellopták, és amikor ellopták, akkor sorozatokban lopták el, és sokféle, saját maguktól regisztrált weboldal jelszavát egyszerre lopták el.
Hogyan lopják el a hackerek a jelszavakat?
Először is, a fiókot ellopták, az első gyanú az, hogy a számítógépet egy trójai falva üti el, a hackerek kulcsnaplózást, adathalászatot és más módszereket alkalmazhatnak jelszavak ellopására, trójai falvak beültetésével a személyes számítógépekbe. Ezért a szerző átvizsgálta több barátja számítógépét, akinek körülötte lopott jelszavak voltak, és nem talált trójai falokat, és nyilvánvaló volt, hogy fiókjaikat trójai lovakon keresztül lopták el.
Mivel ez nem a saját számítógépeddel van probléma, valószínű, hogy a regisztrált weboldalt "valaki húzta be az adatbázisba", íme egy magyarázat a drag adatbázisra, az úgynevezett "drag könyvtár" az, hogy a weboldal felhasználói adatait SQL injekcióval vagy más módon lopják el, és a weboldal felhasználónév- és jelszóadatai megszerződnek, és sok ismert weboldal "drag könyvtár" eseményeket indított ki, mint például a CSDN, Tianya, Xiaomi stb., a hackerek cserélik és központosítják a lehúzott adatbázisokat, egymás után úgynevezett "szociális munkakönyvtárat" alkotva, A szociális munka adatbázisa sok fiókjelszót tárol a "húzott" weboldalról, így a szerző egy barátja fiókadatait kereste egy szociális munka adatbázis-oldalon, amelyet a hackerek gyakran használnak, és valóban, megtalálta a kiszivárgott fiókjelszót:
A képernyőképen látható, hogy a barát jelszavát kiszivárogtatták a 51CTO-tól, és a jelszót MD5-tel titkosították, de nem lehetetlen megoldani ezt a jelszót, és számos weboldal van az interneten, amelyek az MD5 eredeti szövegét lekérdezik, például titkosított szöveget keresnek a CMD5-en, és gyorsan megtalálják a jelszó eredeti szövegét:
A sikeres visszafejtés után jelentkezz be a barátod megfelelő fiókjába a jelszóval, és valóban, a bejelentkezés sikeres volt. Úgy tűnik, hogy a jelszó kiszivárgásának módja már megtalálták. Szóval most az a kérdés, hogyan törhettek fel a hackerek több baráti weboldalra?
Sokkoló földalatti adatbázis
Most itt az ideje, hogy feláldozzuk egy másik eszközünket (www.reg007.com), mert sokan ugyanazt az e-mail címet használják sok vállalkozás regisztrálásához, és ezen a weboldalon keresztül megkérdezheted, melyik weboldal volt regisztrálva egy adott e-mail címmel; amikor először láttam ezt a weboldalt, barátaimmal meg voltunk döbbenve, a következő helyzet egy adott e-mail lekérdezésekor összesen 21 regisztrált weboldalt kérdeztek:
Valójában sok barátnak is van ilyen szokása, vagyis a memória megkönnyítése érdekében minden weboldali fiókot ugyanazzal a fiókkal és jelszóval regisztrálnak, legyen szó egy kis fórumról vagy egy olyan bevásárlóközpontról, ahol olyan ingatlanok vannak, mint a JD.com és a Tmall. Ez a gyakorlat nagyon veszélyes, és ha valamelyik helyszín elesik, minden fiók veszélybe kerül. Különösen a 2011-es CSDN adatbázis-szivárgás után egyre több weboldal szivárogtatta meg az adatbázisokat, és ezek a kiszivárogtatott adatbázisok bármikor megtalálhatók a weboldalakon. Gondolkodj rajta, ha a fiókod jelszó ugyanaz, a fenti lépéseken keresztül könnyen megtudhatod, melyik egyetemre jártál (Xuexin.com), milyen munkát végeztél (Future Worry-free, Zhilian), mit vettél (JD.com, Taobao), kit ismersz (felhő címjegyzék), és mit mondtál (QQ, WeChat).
Az alábbi ábra néhány társadalmi munka adatbázis-információt mutat be, amelyeket néhány földalatti weboldal váltott meg:
Amit fent mondottak, az nem riasztó, mert túl sok weboldal létezik, amely a valóságban "betitkolhat" a hitelesítéseket, és sok példa van a fekete iparágak nagyszabású "bankmosására", "hitelesítő kitöltésére" és "banki ellopásra" is. Íme a magyarázat ezekre a kifejezésekre: miután nagy mennyiségű felhasználói adatot szereztek meg a könyvtár húzásával, a hackerek értékes felhasználói adatokat szereznek egy sor technikai módszerrel és a fekete iparági láncon, amit általában "adatbázis mosásnak" neveznek, végül megpróbál más weboldalakra bejelentkezni a hacker által szerzett adatokkal, amit "credential stuffing"-nek hívnak, mert sok felhasználó szeret egységes felhasználónévjelszót használni, és a "credential stuffing" gyakran nagyon jutalmazó.
A "Dark Cloud" sebezhetőségi beküldési platformon keresve található, hogy sok weboldalon vannak hitelesítési adatok elleni sebezhetőség, miközben a támadó és védekező oldalak ismételten védekeztek egymás ellen, és a "credential stuffing" támadási módszere mindig is különösen népszerű volt a fekete ipar körében olyan jellemzői miatt, mint az "egyszerű", "durva" és "hatékony".
A szerző egyszer egy nagyszabású hitelesítő kártya tömés incidenssel találkozott egy ismert kínai postaládában a projekt során, és az alábbiakban néhány részlet az akkori e-mailekből található:
Anomália elemzés
Ma reggel 10 órától este 21:10 körül nyilvánvaló rendellenes bejelentkezés történt, amit gyakorlatilag hackelésnek minősítettek. A hackerek automatikus bejelentkezési programokat használnak, hogy rövid idő alatt ugyanarról az IP-ről nagy számú bejelentkezési kérést indítanak, párhuzamos kérésekkel és magas gyakorisággal, akár több mint 600 bejelentkezési kérést is percenként. A nap folyamán összesen 225 000 sikeres bejelentkezés és 43 000 sikertelen bejelentkezés történt, mintegy 130 000 fiókot érintettek (2 bejelentkezés egy fiókonként);
A hacker a WAP alap verziójáról jelentkezett be, a sikeres bejelentkezés után átváltott a szabványos verzióra, és a bejelentkezési értesítést a standard verzióban kikapcsolta, így egy SMS-emlékeztető váltott ki a fiókhoz kötött mobiltelefonszám módosításával. A naplóelemzés alapján nem találtak más viselkedést, miután a hacker módosította a bejelentkezési értesítést, és a hacker nem küldött e-mailt a bejelentkezés után.
Az előzetes elemzési eredmények a következők:
1. A hacker a szokásos felhasználónév-jelszó hitelesítési módszert használja a bejelentkezéshez, és a hitelesítési sikerességi arány nagyon magas. Az elmúlt napok naplóit megkérdezve ezek a felhasználók nem találtak bejelentkezési kísérleteket. Vagyis a felhasználói jelszót más módokon szerezzük, nem pedig erőszakkal törik fel az e-mail rendszer jelszavát;
2. A hackerek által ellopott felhasználók regisztrációs helye az egész országban található, nincs nyilvánvaló jellemző, és nincs egyértelmű jellemzője a regisztrációs időnek;
3. Néhány felhasználónév és jelszó, amelyet csomagok elfogásával elfognak, azt mutatja, hogy a különböző felhasználók jelszavai eltérnek, nincs hasonlóság, és nem egyszerű jelszavak; Kiválasztottam néhány felhasználói jelszavat, és megpróbáltam bejelentkezni 163 postalába, Dianpingre és más weboldalakon, de azt találtam, hogy a bejelentkezés sikeres volt;
4. Számos hacker bejelentkezési IP-cím forrása létezik, többek között Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huinan, és más városok. Miután letiltjuk a rendellenes bejelentkezési IP-t, a hackerek gyorsan megváltoztathatják a bejelentkezési IP-t, így a blokkolás gyorsan hatástalanná válik. Csak a hackereket tudjuk követni, és a frekvenciajellemzők szerint csak egy bizonyos szám elérése után hajtjuk végre a blokkolást.
5. A felhasználó korábbi aktivitási státuszát csak holnap egyeztetik meg. De a jelenlegi helyzetből ítélve személyes előzetes tippem az, hogy legyenek aktív és inaktív felhasználók, és a legtöbbjük inaktív felhasználó.
A fenti elemzésből alapvetően látható, hogy a hackereknek már kéznél van ezeknek a felhasználóknak a felhasználónevük és jelszava, és a legtöbbjük helyes. A jelszavakat okozhatják, hogy korábban különböző hálózati jelszóinformációk szivárogtak ki.
Biztonsági tanácsok
Végül a szerző megkérdezi: szeretnéd-e, hogy a jelszavad valaki más kezében legyen, vagy létezik valaki más adatbázisában?
Hogy mindenki jelszavait megvédje, a szerző néhány jelszójavaslatot ad,
1. Rendszeresen változtasd meg a jelszavadat;
2. Fontos weboldalak fiókjelszavát és nem fontos weboldalak, például Tmall, JD.com stb. fiókjelszavát el kell választani; a legjobb a fiókjelszót külön megcsinálni;
3. A jelszónak van egy bizonyos összetettsége, például több mint 8 számjegy, beleértve a nagy- és kisbetűket, valamint a speciális szimbólumokat, a memória megkönnyítése érdekében speciális kriptográfiai szoftverekkel kezelheted a saját jelszavadat, a legismertebb a keepass;
Remélem, hogy a fenti tartalom révén mindenki jobban megértheti a jelszóbiztonságot, hogy jobban megvédje személyes magánéletét és tulajdonbiztonságát.
|
Közzétéve 2014. 11. 25. 18:10:15
|
|
|
|
