Несколько дней назад у многих друзей вокруг меня украли пароли, и когда их украли, то по партиям, и одновременно украли множество разных паролей от сайтов, зарегистрированных ими сами.
Как хакеры крадут пароли?
Во-первых, аккаунт был украден, первое подозрение — проблема с тем, что компьютер попал под троянский конь; хакеры могут использовать кейлогинг, фишинг и другие методы для кражи паролей, внедряя троянских лошадей в персональные компьютеры. Поэтому автор проверил компьютеры нескольких друзей с украденными паролями рядом и не обнаружил троянских лошадей, и стало очевидно, что их аккаунты были украдены через троянских лошадей.
Поскольку проблема не в вашем собственном компьютере, то, скорее всего, зарегистрированный сайт был «перетащён кем-то для перетащения в базу данных». Вот объяснение базы данных, так называемая «библиотека драга» — это то, что пользовательские данные сайта украдены с помощью SQL-инъекции или другим способом, и получены данные имени пользователя и пароля этого сайта, а многие известные сайты выпускают события «drag library», такие как CSDN, Tianya, Xiaomi и др. Хакеры обмениваются и централизуют задерживаемые базы данных, формируя одну так называемую «библиотеку социальной работы» за другой. База данных социальной работы хранит много паролей аккаунта с «перетащенного» сайта, поэтому автор искал информацию о аккаунте друга на сайте базы данных социальных работников, часто используемом хакерами, и, как и следовало ожидать, нашёл утекший пароль аккаунта:
На скриншоте видно, что пароль друга был утечен из 51CTO, и пароль был зашифрован MD5, но решить этот пароль не невозможно, и существует множество сайтов в Интернете, где можно запросить оригинальный текст MD5, например, поиск шифротекста в CMD5 и быстрое обнаружение оригинального текста пароля:
После успешной расшифровки войдите в соответствующий аккаунт друга с паролем, и, конечно, вход был успешным. Похоже, способ утечки пароля был найден. Теперь возникает вопрос: как хакеры взломали несколько сайтов друзей?
Шокирующая подпольная база данных
Сейчас пришло время пожертвовать ещё одним нашим инструментом (www.reg007.com), потому что многие люди используют один и тот же адрес электронной почты для регистрации большого количества клиентов, и через этот сайт можно узнать, какой сайт зарегистрирован с определённым письмом. Когда я впервые увидел этот сайт, мои друзья и я были поражены. Вот ситуация, когда при запросе определённого письма было запрошено 21 зарегистрированный сайт:
На самом деле, многие друзья тоже имеют такую привычку: для удобства памяти они регистрируют все аккаунты сайта с одним и тем же аккаунтом и паролем, будь то небольшой форум или торговый центр с объектами вроде JD.com и Tmall. Эта практика крайне небезопасна, и если один из объектов рухнет, все аккаунты окажутся под угрозой. Особенно после утечки базы данных CSDN в 2011 году, всё больше сайтов утекли базы данных, и эти утечки базы данных можно найти на сайтах по желанию. Вы можете подумать, если пароль вашего аккаунта совпадает, с помощью вышеуказанных шагов вы легко узнаете, в каком университете вы учились (Xuexin.com), какую работу выполняли (Future Worry-free, Zhilian), что купили (JD.com, Taobao), кого знаете (облачная адресная книга) и что вы сказали (QQ, WeChat)
Следующая иллюстрация показывает часть информации о базе данных социальной работы, которую обмениваются некоторыми подпольными сайтами:
То, что сказано выше, не является паникёрством, потому что на самом деле слишком много сайтов, которые могут «набить учетные данные», а также есть множество примеров крупномасштабного «отмывания банков», «подбора учетных данных» и «кражи банков» чернокожих отраслей. Вот объяснение этих терминов: после получения большого объёма пользовательских данных путём «перетаскивания библиотеки» хакеры зарабатывают ценные пользовательские данные с помощью ряда технических методов и чёрной индустриальной цепочки, которую обычно называют «wash database», а затем попытаются войти на другие сайты с полученными ими данными, что называется «заполнением учетных данных», потому что многие пользователи предпочитают использовать единый пароль от имени пользователя, а «подчинение учетных данных» часто приносит большое удовлетворение.
При поиске на платформе для подачи уязвимостей «Dark Cloud» можно увидеть, что на многих сайтах есть уязвимости при заполнении учетных данных, и одновременно атакующая и оборонительная стороны неоднократно защищались друг от друга, а метод атаки «заполнения учетных данных» всегда был особенно популярен в чернокожей индустрии благодаря таким характеристикам, как «простота», «грубая» и «эффективная».
Однажды автор столкнулся с крупномасштабным инцидентом с подбором данных в известном почтовом ящике в Китае во время проекта, и ниже приведены некоторые выдержки из обмена электронными письмами, которые тогда обменивались:
Анализ аномалий
С примерно 10 часов утра до конца 21:10 вечера наблюдается явный аномальный вход, который по сути определяется как взлом. Хакеры используют автоматические программы для входа, чтобы инициировать большое количество запросов на вход с одного и того же IP за короткий промежуток времени, с одновременными запросами и высокой частотой — до более 600 запросов на вход в минуту. В течение сегодняшнего дня произошло всего 225 000 успешных входов и 43 000 неудачных входов, включая около 130 000 аккаунтов (по 2 входа на каждый аккаунт);
Хакер вошёл в систему с базовой версии WAP, после успешного входа переключился на стандартную версию и отключил уведомление о входе в стандартной версии, тем самым вызвав напоминание о текстовом сообщении с изменениями номера мобильного телефона, привязанного к аккаунту. По анализу логов после изменения уведомления о входе хакером не было обнаружено других действий, и после входа хакер не отправлял никаких писем.
Предварительные результаты анализа следующие:
1. Хакер использует стандартный метод аутентификации по имя пользователя и паролю для входа, и уровень успешности аутентификации очень высок. При запросе логов за последние несколько дней попыток входа не было найдено этими пользователями. То есть пароль пользователя получается другим способом, а не путём перебора пароля электронной почты;
2. Место регистрации пользователей, украденных хакерами, распространёно по всей стране, без явных признаков и явных характеристик времени регистрации;
3. Некоторые имена пользователей и пароли, перехваченные с помощью захвата пакетов, показывают, что пароли разных пользователей разные, нет сходства и это не простые пароли; Я выбрал несколько паролей пользователей и попытался войти на сайты 163 mailbox, Dianping и другие сайты, и обнаружил, что вход прошёл успешно;
4. Существует множество источников IP-адресов для входа хакеров, включая Сиань, Шэньси, Анькан, Хэфэй, Аньхой, Хуаншань, Аньхой, Хуайнань и другие города. После того как мы заблокируем ненормальный IP-адрес входа, хакеры могут быстро изменить IP входа, из-за чего наша блокировка становится неэффективной. Мы можем следить только за хакерами, и согласно частотным характеристикам блокируем только после достижения определённого числа.
5. Предыдущий статус активности пользователя будет сопоставлен только завтра. Но, судя по текущей ситуации, моё личное предварительное предположение — должны быть активные и неактивные пользователи, и большинство из них должны быть неактивными.
Из приведённого выше анализа видно, что у хакеров уже есть имена пользователей и пароли этих пользователей, и большинство из них верны. Пароли могут быть вызваны утечкой различных сетевых паролей, которые ранее использовались.
Советы по безопасности
Наконец, автор спрашивает: хотите, чтобы ваш пароль был в руках другого человека или он существует в чужой базе данных?
Чтобы защитить пароли всех, автор здесь даёт вам несколько предложений по паролям,
1. Регулярно меняйте пароль;
2. Пароль аккаунта важных сайтов и пароль аккаунта незначительных сайтов, таких как Tmall, JD.com и др., должны быть разделены; лучше всего делать пароль от аккаунта другим;
3. Пароль имеет определённую сложность, например, более 8 цифр, включая заглавные и строчные буквы и специальные символы. Для облегчения памяти можно использовать специальное криптографическое программное обеспечение для управления своим паролем, наиболее известный — keepass;
Я надеюсь, что благодаря вышеуказанному контенту каждый сможет лучше понять безопасность паролей, чтобы лучше защитить свою личную приватность и безопасность имущества.
|
Опубликовано 25.11.2014 18:10:15
|
|
|
|
