150多亿个用户名和密码被泄露

安全
当前,至少有150亿个凭证在各种黑市和论坛上流传,这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。

当前,至少有150亿个凭证在各种黑市和论坛上流传,这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。

经过安全公司Digital Shadows的调查报告显示,多数泄露都是由于消费者自身对数据不够重视所导致的,于是黑客们可以利用这些凭证和数据,来发动凭证填充攻击。

报告显示:暴力破解工具和帐户检查程序在黑市和论坛上都有售卖,平均售价为4美元,其中最受欢迎的市场是UnderWorld(以前为RichLogs)和Tenebris,但最大的市场仍然是Genesis Market。

部分用户名和密码组合都是免费提供的,其中有50亿张凭证是“独一无二”“可售卖的”,这50亿张凭证的平均售价是15.43美元,防病毒帐户是20多美元,而其他类型的帐户(有线电视、社交媒体、流媒体、成人、音乐、文件共享和视频游戏帐户)通常不到10美元。

最昂贵的帐户是用于域管理员访问的,因为它们在网络上提供了最高级别的信任和控制,所以许多广告公司通过拍卖来提供域名管理员的访问权限,并以高达12万美元(平均3139美元)的价格将其卖给出价最高者。

这些价格的定位取决于所在行业,其中对地方政府和金融部门的要价最高。

1594370852.png!small

如今凭据很少以纯文本形式出现,许多服务会检查指纹数据以识别未经授权的登录尝试。

于是黑市又开发了新的模式,比如Genesis Market的用户可以租用帐户访问权限来代替购买凭据,在一定时期内,使用最近推出的ATO“即服务”模式,罪犯可以用不到10美元的价格租用一个身份,该服务还提供了受害者的“指纹数据”(例如cookie,IP地址,时区),使其看起来像合法的所有者登录,从而更容易劫持帐户和执行交易而不会被发现。

从直接销售数据到通过凭证填充获得对其他帐户的访问权,再到租用帐户,使用数据创建综合身份,再到进行欺诈,网络罪犯有各种各样的赚钱方法。

除了破解密码外,攻击者们可以利用来自数据泄露的凭据列表,轻松地部署凭据填充(凭据重用)攻击,从而使同一用户可以访问更多帐户,并有机会收集更多个人信息。

长期以来,Sentry MBA一直是凭证填充攻击的最爱。它具有绕过某些安全防护(例如IP位置或速率限制)的功能。这使它可以尝试使用数百万个用户名和密码的组合,以找到目标网站的有效登录名。

在网络犯罪论坛上广泛讨论的另一种工具是OpenBullet,截至2020年,已占整个网络犯罪论坛的35%,这是一种网站测试套件,可以在目标Web应用程序上运行请求。它具有开源特性,自定义选项和较低的CPU使用率,以及随附的用于解析和抓取的工具,因此使其成为有吸引力的选择。

下图显示了网络犯罪分子在2020年提到的一组凭证验证工具。

1594370922.png!small

对于普通用户而言,防御ATO攻击是一项轻松的任务,他们可以选择强而唯一的密码,并在支持该功能的服务上启用两因素身份验证(2FA),但这不能完全消除风险。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-24 08:48:47

用户名密码登录

2011-07-22 15:01:28

MongoDB权限管理

2009-08-18 13:52:57

Ubuntu用户名密码

2017-04-19 12:36:40

2011-09-06 10:36:44

2010-05-31 09:10:20

Myeclipse S

2014-09-11 09:25:19

2019-08-26 19:24:55

Podman容器Linux

2010-05-24 14:00:43

Flex Svn

2013-05-29 09:47:45

2009-10-26 16:08:40

Oracle默认用户名

2013-01-04 17:51:28

Android开发SharedPrefe解析用户名

2021-10-07 11:50:46

Facebook宕机Clubhouse

2009-06-18 15:05:11

2019-11-12 09:23:16

Telnet密码抓包

2018-06-11 10:33:50

2010-09-27 14:48:12

SQL用户名

2019-01-21 10:12:58

拼多多漏洞黑灰产

2012-01-05 10:38:32

2017-12-25 15:30:51

点赞
收藏

51CTO技术栈公众号