Qualche giorno fa, molti amici intorno a me hanno visto le password rubate, e quando sono state rubate, sono state rubate in lotti, e molte password diverse registrate da loro sono state rubate contemporaneamente.
Come vengono rubate le password dagli hacker?
Prima di tutto, l'account viene rubato, il primo sospetto è il problema del computer colpito da un cavallo di, gli hacker possono usare keylogging, phishing e altri metodi per rubare password impiantando cavalli di nei computer personali. Perciò, l'autore controllò i computer di diversi amici con password rubate e non trovò cavalli di, ed era ovvio che i loro account fossero stati rubati tramite cavalli di.
Poiché non si tratta di un problema del proprio computer, è probabile che il sito registrato sia stato "trascinato da qualcuno per essere trascinato nel database"; ecco una spiegazione del drag database; la cosiddetta "drag library" è che i dati utente del sito vengono rubati tramite SQL injection o altri mezzi, e le informazioni sui nomi utente e la password di questo sito vengono ottenute, e molti siti web noti hanno emesso eventi di "drag library", come CSDN, Tianya, Xiaomi, ecc.; gli hacker scambieranno e centralizzeranno i database ridotti verso il basso, formando una cosiddetta "biblioteca di servizi sociali" dopo l'altra. Il database dei servizi sociali memorizza molte informazioni sulle password degli account dal sito "dragged", così l'autore ha cercato le informazioni dell'account di un amico su un database di social work comunemente usato dagli hacker, e infatti ha trovato la password dell'account trapelata:
Si può vedere dallo screenshot che la password dell'amico è stata trapelata da 51CTO, e la password è stata criptata con MD5, ma non è impossibile risolvere questa password, e ci sono molti siti web su Internet che possono interrogare il testo originale di MD5, ad esempio cercando il testo cifrato su CMD5 e scoprendo rapidamente il testo originale della password:
Dopo la decrittazione riuscita, accedi all'account corrispondente del tuo amico con la password e, infatti, l'accesso è stato riuscito. Sembra che il modo in cui la password è stata trapelata sia stato scoperto. Quindi, ora la domanda è: come hanno fatto gli hacker a hackerare più siti web di amici?
Scioccante database sotterraneo
In questo momento, è il momento di sacrificare un altro nostro strumento (www.reg007.com), perché molte persone hanno l'abitudine di usare lo stesso indirizzo email per registrare molte attività, e tramite questo sito puoi interrogare quale sito sia stato registrato con una determinata email; la prima volta che ho visto questo sito, io e i miei amici sono rimasti sbalorditi; la seguente è la situazione quando si interroga una certa email, sono stati inviati in totale 21 siti web registrati:
Infatti, molti amici hanno anche questa abitudine, cioè, per facilitare la memoria, registrano tutti gli account del sito web con lo stesso account e password, che si tratti di un piccolo forum o di un centro commerciale con immobili come JD.com e Tmall. Questa pratica è molto pericolosa e, se uno dei siti cade, tutti gli account saranno a rischio. Soprattutto dopo la fuga di dati CSDN nel 2011, sempre più siti web hanno fatto trapelare, e questi database trapelate possono essere trovati su siti web a piacimento. Puoi pensarci: quando la password del tuo account è la stessa, attraverso i passaggi sopra puoi facilmente sapere a quale università sei stato (Xuexin.com), che lavoro hai svolto (Future Worry-free, Zhilian), cosa hai acquistato (JD.com, Taobao), chi conosci (rubrica cloud) e cosa hai detto (QQ, WeChat)
La figura seguente mostra alcune delle informazioni del database del servizio sociale scambiate da alcuni siti web clandestini:
Quanto detto sopra non è allarmistico, perché ci sono troppi siti web che in realtà possono "riempire le credenziali", e ci sono anche molti esempi di "riciclaggio bancario" su larga scala, "credenzialial stuffing" e "bancarie" di industrie nere. Ecco una spiegazione di questi termini: dopo aver ottenuto una grande quantità di dati degli utenti tramite il "trascinamento della libreria", gli hacker monetizzeranno dati preziosi degli utenti attraverso una serie di mezzi tecnici e la catena nera dell'industria, solitamente chiamata "database washing", e infine l'hacker cercherà di accedere ad altri siti web con i dati ottenuti dall'hacker, chiamato "credential stuffing", perché molti utenti preferiscono usare una password unificata con il nome utente, e il "credential stuffing" è spesso molto gratificante.
Cercando sulla piattaforma di invio delle vulnerabilità "Dark Cloud", si può trovare che molti siti web presentano vulnerabilità legate al credential stuffing e, allo stesso tempo, le parti offensiva e difensiva si sono ripetutamente difese a vicenda, e il metodo di attacco chiamato "credential stuffing" è sempre stato particolarmente popolare nell'ambiente dell'industria nera per le sue caratteristiche come "semplice", "grezzo" ed "efficace".
L'autore si è trovato una volta a confrontarsi con un grande incidente di riempimento di credenziali in una nota cassetta postale in Cina durante il progetto, e di seguito alcuni estratti dalle email scambiate in quel periodo:
Analisi delle anomalie
Dalle 10 di questa mattina fino alla fine delle 21:10 circa, c'è un accesso anomalo evidente, che è praticamente stato identificato come hackeraggio. Gli hacker utilizzano programmi di login automatico per avviare un gran numero di richieste di accesso dallo stesso IP in un breve periodo di tempo, con richieste concorrenti e alta frequenza di richieste, fino a oltre 600 richieste di accesso al minuto. Durante la giornata di oggi, sono stati effettuati un totale di 225.000 accessi riusciti e 43.000 accesso falliti, coinvolgendo circa 130.000 account (2 login per account);
L'hacker accedeva dalla versione base di WAP, passava alla versione standard dopo l'accesso riuscito e disattivava la notifica di accesso nella versione standard, attivando così un promemoria via messaggio di testo con modifiche al numero di cellulare associato all'account. Dall'analisi dei log, non è stato riscontrato alcun altro comportamento dopo che l'hacker ha modificato la notifica di accesso, e non ha inviato alcuna email dopo l'accesso.
I risultati preliminari dell'analisi sono i seguenti:
1. L'hacker utilizza il metodo standard di autenticazione nome utente-password per effettuare il login, e il tasso di successo dell'autenticazione è molto elevato. Interrogando i log degli ultimi giorni, non sono stati trovati tentativi di accesso da parte di questi utenti. Cioè, la password utente viene ottenuta tramite altri mezzi, non con la forza bruta per decifrare la password del sistema email;
2. Il luogo di registrazione degli utenti rubati dagli hacker è ovunque nel paese, senza caratteristiche evidenti e non ci sono caratteristiche evidenti dell'orario di registrazione;
3. Alcuni nomi utente e password intercettati dalla cattura di pacchetti mostrano che le password di utenti diversi sono diverse, non c'è somiglianza e non sono semplici password; Ho selezionato alcune password utente e ho provato ad accedere alla cassetta 163, al Dianping e ad altri siti web, e ho scoperto che il login era riuscito;
4. Esistono molte fonti di indirizzi IP per il login degli hacker, tra cui Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan e altre città. Dopo aver bloccato l'IP di accesso anomalo, gli hacker possono rapidamente cambiare l'IP di accesso, facendo sì che il nostro blocco diventi rapidamente inefficace. Possiamo seguire solo gli hacker e, in base alle caratteristiche di frequenza, implementeremo il blocco solo dopo aver raggiunto un certo numero.
5. Lo stato di attività precedente dell'utente non sarà corrispondente fino a domani. Ma a giudicare dalla situazione attuale, la mia ipotesi preliminare personale è che dovrebbero esserci utenti attivi e inattivi, e la maggior parte di loro dovrebbe essere inattiva.
Dall'analisi sopra, si può vedere sostanzialmente che gli hacker hanno già a disposizione le informazioni sui nomi utente e la password di questi utenti, e la maggior parte di esse è corretta. Le password possono essere causate dalla fuga di varie informazioni sulle password di rete in precedenza.
Consigli sulla sicurezza
Infine, l'autore chiede: vuoi che la tua password sia nelle mani di qualcun altro, o esiste nel database di qualcun altro?
Per proteggere la password di tutti, l'autore qui ti dà alcuni suggerimenti per password,
1. Cambiare regolarmente la password;
2. La password dell'account dei siti web importanti e quella dei siti non importanti devono essere separate, come Tmall, JD.com, ecc.; è meglio cambiare la password dell'account;
3. La password ha una certa complessità, come più di 8 cifre, incluse lettere maiuscole e minuscole e simboli speciali; per facilitare la memoria, puoi utilizzare software crittografici speciali per gestire la password, la più famosa è il keepass;
Spero che, grazie ai contenuti sopra sopra, tutti possano comprendere meglio la sicurezza delle password, così da proteggere meglio la propria privacy personale e la sicurezza della proprietà.
|
Pubblicato su 25/11/2014 18:10:15
|
|
|
|
