在黑客论坛上流传着超过150亿张凭证

  目前,各种黑客论坛上流传着至少150亿张凭证,为网络犯罪分子提供了账户接管攻击和身份租赁服务的素材。

  它们是由超过10万个数据泄露造成的,其中超过50亿是独一无二的。

  数据丢失检测公司Digital Shadows的一份报告称,大多数来自消费者,但在网络犯罪市场上,为公司账户发布解锁密钥系统的广告也很常见。



  形形色色的受害者

  来自非金融服务(有线电视、社交媒体、流媒体、VPN服务、文件共享、视频游戏、成人)账户的登录对是最便宜的,而网络犯罪分子会将其中的许多泄露出去。待售的平均价格为15.43美元。

  根据数据丢失检测公司Digital Shadows分析的广告,四分之一的广告提供与银行和其他金融服务相关的账户。它们的平均价格更高,每件70.91美元。

  然而,一个网上银行账户的确认余额,个人身份信息的可用性,以及新鲜度,都可以将价格推高到500美元。

  在许多情况下,网络犯罪分子利用它们进行洗钱以掩盖其踪迹,或进行套现计划。

  预计,最昂贵的帐户是用于域管理员访问的。拍卖这些设备是为了获得最好的价格,因为它们在网络上提供了最高级别的信任和控制。在这种情况下,平均价格是3139美元,但价格可能会上升到12万美元。

  在这些广告中,有几十个要约和受害者公司的描述,包括“石化”、“网络安全”、“石油”、“大学”,以及各个州和政府。

  账户接管工具

  成功的账户接管(ATO)攻击的好处在于身份盗用。它们通常提供对个人信息的访问,货币化可以采取多种形式。

  从直接出售数据并通过凭证填充获得对其他账户的访问权,到租用账户访问权,利用这些数据创建合成身份,再到诈骗,网络犯罪分子的赚钱手段五花八门。

  他们遇到的唯一障碍是,如今凭据很少以纯文本形式出现,许多服务都会检查指纹数据,以识别未经授权的登录尝试。

  有几个市场可以在不触发警报的情况下租用账户。一些人有僵尸网络信息窃取恶意软件收集指纹数据(cookies,IP地址,时区)一旦注入,使其看起来像合法的所有者登录。

  根据他们想要租用的访问类型,网络罪犯只需支付不到10美元就可以使用受害者的指纹数据在有限的时间内登录到一个帐户。

  根据Digital Shadow的报告,Genesis市场最受欢迎。不过,这并非没有竞争。黑社会市场(以前叫里士洛)和特内布里斯是同一个行业。

  破解密码和确定其他帐户有效的工具和服务也是成功的帐户泄露的一部分。

  Digital Shadows计算出45.99%的密码哈希值使用了MD5,这使得以今天的处理能力将它们还原为原始形式变得很简单。

  暴力强行闯入是一种很流行的方法,很多人都没有名字。其他人似乎已经获得足够的知名度,值得一个标签,像九头蛇登录破解。

  利用来自数据泄露的凭证列表,威胁参与者可以轻松部署凭证填充(凭证重用)攻击,从而提供从同一用户访问更多帐户的机会,以及收集更多个人信息的机会。

  岗哨MBA是长期以来最受欢迎的凭证填充攻击。它具有绕过一些安全防御措施的功能,如IP定位或速率限制。这使得它可以尝试数百万个用户名和密码的组合来找到目标网站的有效登录。

  网络犯罪论坛上广泛讨论的另一个工具是OpenBullet,一个可以在目标web应用程序上运行请求的网站测试套件。它的开源特性、定制选项、低CPU使用率以及包含的解析和抓取工具使它成为一个有吸引力的选择。

  对于普通用户来说,防范ATO攻击是一项简单的任务,他们可以选择强而唯一的密码,并在支持它的服务上启用双因素身份验证(2FA)。这并不能完全消除风险,但会使攻击者无法实现,因为回报不值得资源。

  另一方面,公司有一个更困难的任务,因为要考虑多个方面。当威胁是一个有动机的参与者时,2FA可能不够,因此应该实现多因素身份验证(MFA)。

  仅此一项措施远远不够,可能会出现未修补的系统、具有敏感数据的存储库和员工安全意识不足的故障点。

  【参考来源:bleepingcomputer】