您的密碼是如何落入壞人之手的?
對于我們大多數人來說,密碼只是無數在線服務最常用的身份驗證方法。但對于網絡犯罪分子而言,它的意義遠不止于此——進入他人生活的捷徑、至關重要的作案工具以及可以出售的商品。
知道密碼后,騙子不僅可以獲取您的帳戶、數據、金錢,甚至身份;他們還可以將您作為薄弱環節來攻擊您網絡上的朋友、親戚,甚至您工作或管理/擁有的公司。為防止這種情況,您首先需要了解外人如何竊取您的密碼。
您的密碼如何落入網絡罪犯之手?
有一種普遍的誤解認為,要將您的密碼提供給網絡騙子,您需要犯一個錯誤——從 互聯網下載并運行未經檢查的文件,打開來自未知發件人的文檔,或者在某些可疑網站上輸入您的憑據。誠然,所有這些行為模式都可以讓攻擊者的生活更輕松,但也有其他情況。以下是獲取帳戶訪問權限的最常見網絡犯罪方法。
網絡釣魚
這確實是主要依賴人為錯誤的憑證收集方法之一。每天都會出現數百個網絡釣魚站點,尤其是在數以千計指向這些釣魚網站的郵件的幫助下。但是,如果您出于某種原因認為您永遠不會被網絡釣魚的把戲所欺騙——那您就錯了。該方法幾乎與互聯網本身一樣古老,因此網絡犯罪分子有足夠的時間來開發大量的社會工程學技巧和偽裝策略。即使是專業人士,有時也無法一眼就辨別出釣魚郵件和真實郵件。
惡意軟件
竊取憑據的另一種常見方法是使用惡意軟件。根據我們的統計,很大一部分活躍的惡意軟件由木馬竊取程序組成,其主要目的是等待用戶登錄某個站點或服務,然后復制他們的密碼并將其發回給其作者。如果您不使用電腦安全防護解決方案,特洛伊木馬可能會在您的計算機上隱藏多年而不被發現,那么您不會知道出了什么問題,因為它們不會造成任何明顯的傷害,只是默默地執行它們的工作。
竊取密碼的特洛伊木馬并不是唯一尋找密碼的惡意軟件。有時,網絡犯罪分子會在網站上注入網絡瀏覽器并竊取用戶輸入的任何內容,包括憑據、姓名、銀行卡詳細信息等。
第三方泄密
成為一些不安全的互聯網服務的用戶或會泄露包含其客戶數據的公司的客戶也會泄露您的密碼。當然,認真對待網絡安全的公司根本不會存儲您的密碼,或者至少會以加密的形式存儲。但你永遠無法確定是否采取了足夠的安全保護措施。例如,今年SuperVPN泄露的信息包含 2100 萬用戶的個人詳細信息和登錄憑據。
此外,有些公司根本無法避免存儲您的明文密碼。是的,我說的是臭名昭著的 LastPass 密碼管理實用程序黑客攻擊。根據最新信息,一個未知的攻擊者使用一些客戶數據訪問了基于云的存儲,包括客戶保險庫的備份。是的,這些保險庫已正確加密,LastPass 從未存儲甚至不知道解密密鑰。但是,如果 LastPass 的客戶使用已經從其他來源泄露的密碼登錄了他們的保險庫怎么辦?如果他們重復使用不安全的密碼,那么現在網絡犯罪分子將能夠一次訪問他們的所有帳戶。
初始訪問代理
在這里,我們來到了另一個被盜密碼的來源——黑市。現代網絡犯罪分子更喜歡專注于某些領域。他們可能會竊取您的密碼,但不一定會使用它們:批發銷售密碼更有利可圖。購買此類密碼數據庫對網絡犯罪分子特別有吸引力,因為它為他們提供了一個多合一的功能:用戶傾向于在多個平臺和帳戶中使用相同的密碼,通常將它們全部綁定到同一封電子郵件。因此,有了來自一個平臺的密碼,網絡犯罪分子就可以訪問受害者的許多其他帳戶——從他們的游戲帳戶到他們的個人電子郵件,甚至是成人網站上的私人帳戶。
黑客論壇的一則廣告:有人以4000美元的價格提供28萬個各種游戲平臺的用戶名和密碼
泄露的公司數據庫可能包含也可能不包含憑據,也在同一個黑市上出售。此類數據庫的價格因數據量和組織所在行業而異:一些密碼數據庫可能售價數百美元。
暗網上的某些服務會聚合泄露的密碼和數據庫,然后啟用付費訂閱或一次性訪問它們的集合。2022 年 10 月,臭名昭著的勒索軟件組織 LockBit入侵了一家醫療保健公司,并竊取了其包含醫療信息的用戶數據庫。他們不僅在暗網上出售對這些信息的訂閱——大概他們在同一個黑市上購買了初始訪問權。
一種暗網服務,提供對包含被盜數據的數據庫的付費訪問
暴力攻擊
在某些情況下,網絡罪犯甚至不需要竊取數據庫就可以找到您的密碼并侵入您的帳戶。他們可以使用暴力攻擊,換句話說,嘗試數千種典型的密碼變體,直到其中一種有效。是的,這聽起來不太可靠。但他們不需要遍歷所有可能的組合——有某些工具(Wordlist Generators)可以根據受害者的個人信息生成可能的常用密碼列表(所謂的暴力字典)。
這些程序看起來像是一份關于受害者的迷你問卷。他們詢問姓名、姓氏、出生日期、伴侶、孩子甚至寵物的個人信息。攻擊者甚至可以添加他們知道的關于目標的額外關鍵字,這些關鍵字可以被添加到組合中。使用這種相關詞、名稱、日期和其他數據的組合,密碼字典生成器創建了數千個密碼變體,攻擊者稍后在登錄時嘗試使用這些變體。
可以根據有關目標受害者的已知信息為暴力攻擊生成字典。
要使用這種方法,網絡犯罪分子首先需要進行研究——這時那些泄露的數據庫可能會派上用場。它們可能包含出生日期、地址或“秘密問題”的答案等信息。數據的另一個來源是社交網絡中的過度分享。一些看起來絕對微不足道的東西,比如一張 12 月 6 日的照片,上面寫著“今天是我心愛的小狗的生日”。
密碼泄露或暴力破解的可能后果
有一些明顯的后果:網絡犯罪分子可以接管您的帳戶并持有它以勒索贖金,用它來欺騙您的聯系人和網友,或者,如果他們能夠獲得您的銀行網站或應用程序的密碼,則有可能清空您的帳戶。然而,有時他們的意圖并不那么直接。
例如,隨著越來越多的游戲引入游戲內貨幣,越來越多的用戶將他們的支付方式與他們的賬戶相關聯。這使得游戲玩家成為黑客的目標。通過獲得對游戲帳戶的訪問權限,他們可以竊取游戲中的貴重物品,如皮膚、稀有物品或內部游戲貨幣,或濫用受害者的信用卡數據。
在搜索您的帳戶時可以獲得的泄露的數據庫和信息不僅可以用于經濟利益,還可以用于聲譽損害和其他類型的社會損害。如果您是名人,您可能會被勒索并面臨選擇:泄露個人信息(這可能會影響您的聲譽)或損失金錢。
即使您不是名人,也可能成為受害者——在網上泄露某人的身份信息的行為——例如他們的真實姓名、家庭住址、工作場所、電話、財務和其他個人信息。這類攻擊的范圍從相對無害的攻擊,例如以您的名義注冊到無數的郵件列表或偽造的外賣訂單,到更危險的攻擊,例如各種形式的網絡欺詐、身份盜用,甚至是當面跟蹤.
最后,如果您對個人帳戶和工作帳戶使用相同的密碼,網絡犯罪分子可以接管您的公司電子郵件并將其用于商業電子郵件泄露計劃甚至會發起針對性的攻擊。
如何保護您的帳戶免受不必要的訪問
首先 - 始終牢記密碼使用原則:
不要為多個帳戶重復使用相同的密碼;
讓你的密碼又長又復雜;
安全地存放密碼;
在第一次聽到有關使用此密碼保護的服務或網站發生數據泄露的消息時,立即更改密碼。
主流的密碼管理器軟件可以幫助您完成所有這些任務并可以實時監控您所有密碼的安全性。有些密碼管理器甚至提供檢查泄漏是否真的發生的服務。一般稱為數據泄漏檢查器,該功能可以讓您檢查您的電子郵件是否已在某處被盜的數據庫中被發現。如果確實已泄露,您將收到一份泄漏站點列表、公開數據的類型(個人、銀行、在線活動歷史記錄等),以及如何處理的建議。
這里有一些額外的建議:
1、盡可能啟用雙因素身份驗證。它提供了額外的安全層,可以防止黑客訪問您的帳戶——即使有人設法獲取了您的登錄名和密碼。
2、設置您的社交網絡以獲得更好的隱私。這將使查找有關您的信息變得更加困難,因此使用暴力字典來攻擊您的帳戶變得更加復雜。
3、停止過度分享個人信息,即使只有朋友可以看到。今天的朋友可能會成為明天的敵人。
