Acum câteva zile, mulți prieteni din jurul meu au avut parolele furate, iar când au fost furate, au fost furate în loturi, iar multe parole diferite de site-uri înregistrate de ei înșiși au fost furate simultan.
Cum sunt furate parolele de către hackeri?
În primul rând, contul este furat, prima suspiciune este problema că calculatorul este lovit de un cal troian, hackerii pot folosi keylogging, phishing și alte metode pentru a fura parole prin implantarea de cai troieni în calculatoarele personale. Prin urmare, autorul a verificat calculatoarele mai multor prieteni cu parole furate în jurul său și nu a găsit niciun cal troian, fiind evident că conturile lor au fost furate prin cai troieni.
Deoarece nu este o problemă a calculatorului tău, este probabil ca site-ul înregistrat să fi fost "tras de cineva pentru a fi adus în baza de date"; iată o explicație a bazei de date drag, așa-numita "bibliotecă de drag" este că datele utilizatorului site-ului sunt furate prin injecție SQL sau alte mijloace, iar informațiile despre numele de utilizator și parola acestui site sunt obținute, iar multe site-uri cunoscute au emis evenimente de tip "drag library", precum CSDN, Tianya, Xiaomi etc., hackerii schimbând și centralizând bazele de date trase, formând o așa-numită "bibliotecă de asistență socială" după alta. Baza de date a asistenței sociale stochează multe informații despre parolele contului de pe site-ul "dragged", așa că autorul a căutat informațiile contului unui prieten pe un site de baze de date de asistență socială folosit frecvent de hackeri și, într-adevăr, a găsit parola scursă:
Se poate vedea din captura de ecran că parola prietenului a fost scursă de la 51CTO, iar parola a fost criptată cu MD5, dar nu este imposibil să rezolvi această parolă, iar există multe site-uri web pe Internet care pot interoga textul original al MD5, cum ar fi căutarea textului cifrat pe CMD5 și descoperirea rapidă a textului original al parolei:
După decriptarea reușită, autentifică-te în contul relevant al prietenului tău cu parola și, într-adevăr, autentificarea a fost un succes. Se pare că modul în care parola a fost scursă a fost descoperit. Așadar, acum întrebarea este: cum au reușit hackerii să spargă mai multe site-uri ale prietenilor?
Baza de date subterană șocantă
În acest moment, este momentul să sacrificăm un alt instrument al nostru (www.reg007.com), deoarece mulți oameni au obiceiul să folosească aceeași adresă de email pentru a înregistra multe afaceri, iar prin acest site poți interoga ce site a fost înregistrat cu un anumit email; prima dată când am văzut acest site, prietenii mei și cu mine am rămas uimi, iar următoarea este situația când se solicită un anumit email, un total de 21 de site-uri înregistrate au fost interogate:
De fapt, mulți prieteni au și ei acest obicei, adică, pentru a facilita memorarea, înregistrează toate conturile de site cu același cont și parolă, fie că este vorba de un forum mic sau de un mall cu proprietăți precum JD.com și Tmall. Această practică este foarte nesigură, iar dacă unul dintre amplasamente cade, toate conturile vor fi expuse riscului. Mai ales după scurgerea bazei de date CSDN din 2011, tot mai multe site-uri web au scurs baze de date, iar aceste baze de date scurse pot fi găsite pe site-uri oricând doresc. Poți să te gândești la asta: atunci când parola contului tău este aceeași, prin pașii de mai sus, poți afla ușor la ce universitate ai fost (Xuexin.com), ce muncă ai făcut (Future Worry-free, Zhilian), ce ai cumpărat (JD.com, Taobao), pe cine cunoști (agendă de adrese cloud) și ce ai spus (QQ, WeChat)
Figura următoare arată unele dintre informațiile din baza de date a asistenței sociale schimbate de unele site-uri subterane:
Ceea ce s-a spus mai sus nu este alarmist, pentru că există prea multe site-uri care pot "ascunde credențiale" în realitate, și există și multe exemple de "spălare bancară" la scară largă, "înfundare a acreditărilor" și "furt bancar" al industriilor negre. Iată o explicație a acestor termeni: după ce obțin o cantitate mare de date ale utilizatorilor prin "tragerea bibliotecii", hackerii vor monetiza datele valoroase ale utilizatorilor printr-o serie de mijloace tehnice și lanțul industriei negre, numit de obicei "spălarea bazei de date", iar în final hackerul va încerca să se conecteze pe alte site-uri cu datele obținute de hacker, ceea ce se numește "credential stuffing", deoarece mulți utilizatori preferă să folosească o parolă unificată a numelui de utilizator, iar "credential stuffing" este adesea foarte satisfăcător.
Căutând pe platforma de trimitere a vulnerabilităților "Dark Cloud", se poate descoperi că multe site-uri au vulnerabilități legate de credențial stuffing, iar în același timp, părțile ofensivă și defensivă s-au apărat în mod repetat una împotriva celeilalte, iar metoda de atac "credential stuffing" a fost întotdeauna deosebit de populară în cercul industriei negre datorită caracteristicilor sale precum "simplu", "dur" și "eficient".
Autorul s-a confruntat odată cu un incident amplu de umplutură a acreditărilor într-o cutie poștală cunoscută din China în timpul proiectului, iar următoarele sunt câteva extrase din emailurile schimbate la acea vreme:
Analiza anomaliilor
De pe la ora 10 dimineața până la sfârșitul orei 21:10 seara, există o autentificare anormală evidentă, care este practic considerată hacking. Hackerii folosesc programe automate de autentificare pentru a iniția un număr mare de cereri de autentificare de pe aceeași adresă IP într-un timp scurt, cu cereri simultane și o frecvență ridicată a cererilor, până la peste 600 de cereri de autentificare pe minut. Pe parcursul zilei de astăzi, au avut loc un total de 225.000 de autentificări reușite și 43.000 de autentificări eșuate, implicând aproximativ 130.000 de conturi (2 autentificări per cont);
Hackerul s-a logat din versiunea de bază a WAP, a trecut la versiunea standard după autentificarea reușită și a dezactivat notificarea de autentificare în versiunea standard, declanșând astfel un memento prin mesaj text cu modificări ale numărului de telefon mobil legat contului. Din analiza jurnalului, nu s-a găsit niciun alt comportament după ce hackerul a modificat notificarea de autentificare, iar hackerul nu a trimis niciun email după autentificare.
Rezultatele analizei preliminare sunt următoarele:
1. Hackerul folosește metoda standard de autentificare nume utilizator-parolă pentru a se autentifica, iar rata de succes a autentificării este foarte ridicată. Interogând jurnalele din ultimele zile, nu au fost găsite încercări de autentificare din partea acestor utilizatori. Adică, parola utilizatorului este obținută prin alte mijloace, nu prin spargerea prin forță brută a parolei sistemului de email;
2. Locul de înregistrare al utilizatorilor furați de hackeri este răspândit în toată țara, fără caracteristici evidente și nu există caracteristici evidente ale timpului de înregistrare;
3. Unele nume de utilizator și parole interceptate prin capturarea pachetelor arată că parolele utilizatorilor diferiți sunt diferite, nu există asemănări și nu sunt simple parole; Am selectat câteva parole de utilizator și am încercat să mă conectez la 163 mailbox, Dianping și alte site-uri, și am constatat că autentificarea a fost reușită;
4. Există multe surse de adrese IP de autentificare pentru hackeri, inclusiv Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan și alte orașe. După ce blocăm IP-ul anormal de autentificare, hackerii pot schimba rapid IP-ul de autentificare, ceea ce face ca blocarea noastră să devină rapid ineficientă. Putem urmări doar hackerii, iar în funcție de caracteristicile de frecvență, vom implementa blocarea doar după ce atingem un anumit număr.
5. Starea anterioară a activității utilizatorului nu va fi corectată decât mâine. Dar, judecând după situația actuală, presupunerea mea preliminară personală este că ar trebui să existe utilizatori activi și inactivi, iar majoritatea ar trebui să fie utilizatori inactivi.
Din analiza de mai sus, se poate observa practic că hackerii au deja la îndemână informațiile de utilizator și parole ale acestor utilizatori, iar majoritatea sunt corecte. Parolele pot fi cauzate de scurgerea mai multor informații despre parolele rețelei înainte.
Sfaturi de siguranță
În final, autorul întreabă: vrei ca parola ta să fie în mâinile altcuiva sau există ea în baza de date a altcuiva?
Pentru a proteja parola tuturor, autorul de aici îți oferă câteva sugestii de parole,
1. Schimbă-ți parola în mod regulat;
2. Parola contului de pe site-urile importante și parola contului de pe site-urile neimportante trebuie să fie separate, cum ar fi Tmall, JD.com etc.; este mai bine să schimbi parola contului;
3. Parola are o anumită complexitate, cum ar fi peste 8 cifre, inclusiv litere mari și mici și simboluri speciale; pentru a facilita memoria, poți folosi un software criptografic special pentru a-ți gestiona propria parolă, cel mai cunoscut fiind keepass;
Sper ca, prin conținutul de mai sus, toată lumea să poată înțelege mai bine securitatea parolelor, pentru a-și proteja mai bine confidențialitatea personală și securitatea proprietății.
|
Postat pe 25.11.2014 18:10:15
|
|
|
|
