Кілька днів тому у багатьох друзів навколо мене вкрали паролі, і коли їх вкрали, то вкрали партіями, і одночасно було викрадено багато різних паролів від сайтів, зареєстрованих самими собою.
Як хакери крадуть паролі?
По-перше, акаунт вкрадено, перша підозра — проблема з тим, що комп'ютер потрапив під троянський конь, хакери можуть використовувати кейлогінг, фішинг та інші методи для крадіжки паролів, імплантуючи троянських коней у персональні комп'ютери. Тому автор перевірив комп'ютери кількох друзів із викраденими паролями навколо себе і не знайшов жодних троянських коней, і було очевидно, що їхні акаунти були викрадені через троянських коней.
Оскільки проблема не є вашим власним комп'ютером, то, ймовірно, зареєстрований вебсайт був «перетягнутий кимось для перетягування в базу даних». Ось пояснення перетягування бази даних, так звана «бібліотека перетягування» полягає в тому, що дані користувача сайту викрадені за допомогою SQL-ін'єкції або іншими способами, і отримують інформацію про ім'я користувача та паролі цього сайту, а багато відомих сайтів запускають події «перетягування бібліотеки», такі як CSDN, Tianya, Xiaomi тощо. Хакери будуть обмінюватися та централізувати затягнуті бази даних, формуючи одну так звану «бібліотеку соціальної роботи» за іншою. База даних соціальної роботи зберігає багато паролів з «перетягнутого» сайту, тому автор шукав інформацію про акаунт друга на сайті соціальної роботи, який часто використовують хакери, і, як і слід було очікувати, знайшов витік акаунта:
Зі скріншоту видно, що пароль друга був злитий з 51CTO, і пароль був зашифрований MD5, але вирішити цей пароль не неможливо, і існує багато сайтів в Інтернеті, які можуть запитати оригінальний текст MD5, наприклад, шукати шифротекст у CMD5 і швидко знаходити оригінальний текст пароля:
Після успішного розшифрування увійдіть у відповідний обліковий запис друга з паролем, і, як і слід було очікувати, вхід був успішним. Схоже, спосіб, у який був розкритий пароль, вже знайдено. Отже, тепер питання: як хакери зламали кілька сайтів друзів?
Шокуюча підземна база даних
Зараз настав час пожертвувати ще одним нашим інструментом (www.reg007.com), адже багато людей мають звичку використовувати одну й ту ж електронну адресу для реєстрації великої кількості клієнтів, і через цей сайт можна запитати, який сайт зареєстрований з певною електронною поштою. Коли я вперше побачив цей сайт, мої друзі та я були шоковані. Ось ситуація, коли при запиті до певної пошти було зареєстровано загалом 21 зареєстрований сайт:
Насправді, багато друзів також мають таку звичку: для зручності пам'яті вони реєструють усі акаунти сайту з однаковим акаунтом і паролем, чи то невеликий форум, чи торговий центр із нерухомістю, такою як JD.com і Tmall. Ця практика дуже небезпечна, і якщо один із об'єктів впаде, всі акаунти опиняться під загрозою. Особливо після витоку бази даних CSDN у 2011 році все більше сайтів оприлюднюють бази даних, і ці витоки можна знайти на сайтах за бажанням. Ви можете подумати, коли пароль вашого акаунта однаковий, через наведені вище кроки ви легко зможете дізнатися, в якому університеті ви навчалися (Xuexin.com), яку роботу виконали (Future Worry-free, Zhilian), що купили (JD.com, Taobao), кого знаєте (хмарна адресна книга) і що сказали (QQ, WeChat)
Наступна ілюстрація показує частину інформації про базу даних соціальної роботи, яку обмінюються деякими підпільними вебсайтами:
Те, що сказано вище, не є панікою, адже існує надто багато сайтів, які насправді можуть «підкидати облікові дані», а також є багато прикладів масштабного «відмивання банків», «підбору облікових даних» і «банківського краду» чорних індустрій. Ось пояснення цих термінів: після отримання великої кількості користувацьких даних шляхом «перетягування бібліотеки» хакери монетизують цінні користувацькі дані за допомогою низки технічних засобів і чорного індустрійного ланцюга, який зазвичай називають «wash database washing», і нарешті хакер намагається увійти на інші сайти з отриманими даними, що називається «заповненням облікових даних», оскільки багато користувачів люблять використовувати уніфікований пароль від імені користувача, а «підштовхування облікових даних» часто дуже винагороджує.
Шукаючи на платформі подання вразливостей «Dark Cloud», можна знайти, що багато сайтів мають вразливості для заповнення облікових даних, і водночас атакувальна та захисна сторони неодноразово захищалися одна від одної, а метод атаки «заповнення облікових даних» завжди був особливо популярним у чорній індустрії через такі характеристики, як «простота», «груба» та «ефективна».
Автор одного разу під час проєкту зіткнувся з масштабним інцидентом з наповненням облікових даних у відомій поштовій скриньці в Китаї, і нижче наведено деякі уривки з листів, якими обмінювалися тоді:
Аналіз аномалій
З приблизно 10-ї години ранку до кінця 21:10 вечора відбувається очевидний аномальний вхід, який фактично визначається як злам. Хакери використовують автоматичні програми входу, щоб ініціювати велику кількість запитів на вход з однієї й тієї ж IP за короткий проміжок часу, з одночасними запитами та високою частотою — до понад 600 запитів на хвилину. Протягом сьогоднішнього дня відбулося загалом 225 000 успішних входів і 43 000 невдалих входів, що включало близько 130 000 акаунтів (2 входи на акаунт);
Хакер увійшов у систему з базової версії WAP, після успішного входу перейшов на стандартну версію і вимкнув сповіщення про вхід у стандартній версії, що викликало текстове нагадування з змінами номера мобільного телефону, прив'язаного до облікового запису. За результатами аналізу журналу після зміни хакером сповіщення про вхід іншої поведінки не виявлено, і хакер не надсилав жодних листів після входу.
Попередні результати аналізу такі:
1. Хакер використовує стандартний метод автентифікації за ім'ям користувача та паролем для входу, і рівень успішності автентифікації дуже високий. Запитуючи журнали за останні кілька днів, ці користувачі не знайшли жодних спроб входу. Тобто пароль користувача отримується іншими способами, а не шляхом грубого зламу пароля поштової системи;
2. Місце реєстрації користувачів, викрадених хакерами, розташоване по всій країні, без очевидних характеристик і відсутність очевидних характеристик часу реєстрації;
3. Деякі імена користувачів і паролі, перехоплені пакетами, показують, що паролі різних користувачів різні, немає схожості і це не прості паролі; Я вибрав кілька паролів користувачів і спробував увійти на 163 mailbox, Dianping та інші сайти, і виявив, що вхід пройшов успішно;
4. Існує багато джерел IP-адрес для входу хакерів, зокрема Сіань, Шеньсі, Анькан, Хефей, Аньхой, Хуаншань, Аньхой, Хуайнань та інші міста. Після блокування ненормальної IP-адреси входу хакери можуть швидко змінити IP-адресу входу, що призводить до швидкого втрати ефективності блокування. Ми можемо стежити лише за хакерами, і відповідно до частотних характеристик блокування впроваджуємо лише після досягнення певної кількості.
5. Попередній статус активності користувача буде зрівняний лише завтра. Але, судячи з поточної ситуації, моя особиста попередня здогадка — мають бути активні й неактивні користувачі, і більшість із них мають бути неактивними.
З наведеного вище аналізу видно, що хакери вже мають під рукою імена користувачів і паролі користувачів, і більшість із них є правильними. Паролі можуть бути спричинені витоком різних мережевих паролів раніше.
Поради щодо безпеки
Нарешті, автор запитує: чи хочеш ти, щоб твій пароль був у чужих руках, чи він існує в чужій базі даних?
Щоб захистити пароль кожного, автор тут дає вам кілька порад щодо паролів,
1. Регулярно змінюйте пароль;
2. Пароль облікового запису важливих вебсайтів і пароль акаунта неважливих сайтів, таких як Tmall, JD.com тощо, найкраще зробити пароль іншим;
3. Пароль має певну складність, наприклад, понад 8 цифр, включно з великими та малими літерами та спеціальними символами. Для зручності пам'яті ви можете використовувати спеціальне криптографічне програмне забезпечення для керування власним паролем; найвідоміший — keepass;
Сподіваюся, що завдяки наведеному вище матеріалу кожен зможе краще зрозуміти безпеку паролів, щоб краще захистити свою особисту приватність і безпеку майна.
|
Опубліковано 25.11.2014 18:10:15
|
|
|
|
