目前,各种黑客论坛上流传着至少150亿张凭证,为网络犯罪分子提供了账户接管攻击和身份租赁服务的素材。
数据丢失检验测试公司Digital Shadows的一份报告称,大多数来自消费者,但在网络犯罪市场上,为公司账户发布解锁密钥系统的广告也很常见。
来自非金融服务(有线电视、社会化媒体、流媒体、VPN服务、文件共享、视频游戏、成人)账户的登录对是最便宜的,而网络犯罪分子会将其中的许多泄露出去。待售的平均价格为15.43美元。
根据数据丢失检验测试公司Digital Shadows分析的广告,四分之一的广告提供与银行和别的金融服务相关的账户。它们的平均价格更高,每件70.91美元。
然而,一个网上银行账户的确认余额,个人身份信息的可用性,以及新鲜度,都可以将价格推高到500美元。
在许多情况下,网络犯罪分子利用它们进行洗钱以掩盖其踪迹,或进行套现计划。
预计,最昂贵的帐户是用于域管理员访问的。拍卖这些设备是为了获得最好的价格,因为它们在网络上提供了最高级别的信任和控制。在这种情况下,平均价格是3139美元,但价格可能会上升到12万美元。
在这些广告中,有几十个要约和受害者公司的描述,包括“石化”、“网络安全”、“石油”、“大学”,以及各个州和政府。
成功的账户接管(ATO)攻击的好处在于身份盗用。它们通常提供对个人隐私信息的访问,货币化能采用多种形式。
从直接出售数据并通过凭证填充获得对其他账户的访问权,到租用账户访问权,利用这一些数据创建合成身份,再到诈骗,网络犯罪分子的赚钱手段五花八门。
他们遇到的唯一障碍是,如今凭据很少以纯文本形式出现,许多服务都会检查指纹数据,以识别没有经过授权的登录尝试。
有几个市场可以在不触发警报的情况下租用账户。一些人有僵尸网络信息窃取恶意软件收集指纹数据(cookies,IP地址,时区)一旦注入,使其看起来像合法的所有者登录。
根据他们想要租用的访问类型,网络罪犯只需支付不到10美元就能够正常的使用受害者的指纹数据在有限的时间内登录到一个帐户。
根据Digital Shadow的报告,Genesis市场最受喜爱。不过,这并非没有竞争。黑社会市场(以前叫里士洛)和特内布里斯是同一个行业。
Digital Shadows计算出45.99%的密码哈希值使用了MD5,这使得以今天的解决能力将它们还原为原始形式变得很简单。
暴力强行闯入是一种很流行的方法,很多人都没有名字。其他人似乎已经获得足够的知名度,值得一个标签,像九头蛇登录破解。
利用来自数据泄露的凭证列表,威胁参与者能轻松部署凭证填充(凭证重用)攻击,从而提供从同一用户访问更多帐户的机会,以及收集更多个人隐私信息的机会。
岗哨MBA是长期以来最受喜爱的凭证填充攻击。它具有绕过一些安全防御措施的功能,如IP定位或速率限制。这使得它能够尝试数百万个用户名和密码的组合来找到目标网站的有效登录。
网络犯罪论坛上广泛讨论的另一个工具是OpenBullet,一个可以在目标web应用程序上运行请求的网站测试套件。它的开源特性、定制选项、低CPU使用率以及包含的解析和抓取工具使它成为一个着迷的选择。
对于普通用户来说,防范ATO攻击是一项简单的任务,他们能够选择强而唯一的密码,并在支持它的服务上启用双因素身份验证(2FA)。这并不能完全消除风险,但会使攻击者没办法实现,因为回报不值得资源。
另一方面,公司有一个更困难的任务,因为要考虑多个角度。当威胁是一个有动机的参与者时,2FA可能不够,因此应该实现多因素身份验证(MFA)。
仅此一项措施远远不足,有极大几率会出现未修补的系统、具有敏感数据的存储库和员工安全意识不足的故障点。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
女孩二次患癌怕耽误工作主动提离职!公司驳回:安心养病,不会抛弃一个生病的员工!
OpenAI转型盈利性企业 微软近140亿美元投资如何转股?谈判已开启
开门红!U17亚预赛-国少2-0完胜巴林 艾比布拉闪击&造2球表现抢眼
孩子写作再也用不着愁了,直接查大语文素材词典去抄,特别好找!小学能用到的素材都有,积累多了自己也能写
