对于我们大多数人来说,密码只是无数在线服务最常用的身份验证方法。但对于网络犯罪分子而言,它的意义远不止于此——进入他人生活的便捷方式、重要的犯罪工具和可销售的商品。知道您的密码后,骗子不仅可以访问您的帐户、数据、金钱,甚至您的身份;他们还可以将您作为薄弱环节来攻击您网络上的朋友、亲戚,甚至是您工作或管理/拥有的公司。为了防止这种情况,您首先需要了解外人如何窃取您的密码。您的密码是如何落入网络罪犯手中的?有一个常见的误解,即为了将您的密码提供给网络骗子,您需要犯一个错误-从Internet下载并运行未经检查的文件,打开来自未知发件人的文档,或打开某个可疑网站上的文件输入您在上的凭据。诚然,所有这些行为模式都可以让攻击者的生活更轻松,但还有其他行为模式。以下是获取帐户访问权限的最常见的网络犯罪方法。网络钓鱼确实是主要依赖人为错误的凭证收集方法之一。每天都会出现数百个网络钓鱼站点,尤其是在数以千计指向它们的电子邮件的帮助下。但是,如果您出于某种原因认为您永远不会被网络钓鱼技巧所愚弄——那您就错了。该方法几乎与互联网本身一样古老,因此网络犯罪分子有足够的时间来开发大量的社会工程技巧和伪装策略。即使是专业人士有时也无法一眼看出钓鱼邮件和真实邮件之间的区别。恶意软件窃取凭据的另一种常见方式是使用恶意软件。根据我们的统计,很大一部分活跃的恶意软件由特洛伊木马窃取程序组成,其主要目的是等待用户登录站点或服务,然后复制他们的密码并将其发回给其作者。如果您不使用计算机安全解决方案,特洛伊木马程序可能会在您的计算机上隐藏多年而不被发现,而且您不会知道问题出在哪里,因为它们不会造成任何明显的危害,它们只是默默地执行它们。它们在工作。密码窃取木马并不是唯一寻找密码的恶意软件。有时,网络犯罪分子会在网站上注入网络浏览器并窃取用户输入的任何内容,包括凭据、姓名、银行卡详细信息等。第三方泄露成为某些不安全Internet服务的用户或泄露包含其客户的数据的公司的客户也可能泄露您的密码。当然,认真对待网络安全的公司根本不会存储您的密码,或者至少不会以加密形式存储。但是您永远无法确定您是否有足够的安全保护措施。例如,今年SuperVPN泄露的信息包括2100万用户的个人详细信息和登录凭据。此外,一些公司根本无法避免存储您的明文密码。是的,我说的是臭名昭著的LastPass密码管理实用程序黑客攻击。根据最新信息,一名未知的攻击者使用一些客户数据(包括客户保险库的备份)访问了基于云的存储。是的,这些保险库已正确加密,LastPass从不存储甚至不知道解密密钥。但是,如果LastPass客户使用从其他来源泄露的密码登录他们的保险库怎么办?如果他们重复使用不安全的密码,现在网络犯罪分子将能够一次访问他们的所有帐户。InitialAccessProxy这里我们来到另一个被盗密码的来源——黑市。现代网络犯罪分子更喜欢专注于某些领域。他们可能会窃取您的密码,但不一定会使用它们:批发销售密码更有利可图。购买这样的密码数据库对网络犯罪分子特别有吸引力,因为它为他们提供了一个多合一的功能:用户倾向于在多个平台和帐户中使用相同的密码,通常将它们全部绑定到同一封电子邮件。因此,使用来自一个平台的密码,网络犯罪分子可以访问受害者的许多其他帐户——从他们的游戏帐户到他们的个人电子邮件,甚至是成人网站上的私人帐户。黑客论坛上的一则广告:有人出价4,000美元购买一个泄露的公司数据库,该数据库包含各种游戏平台的280,000个用户名和密码,这些数据库可能包含也可能不包含凭据,也在同一黑市上出售。此类数据库的价格因数据量和组织所在行业而异:一些密码数据库可能要花费数百美元。暗网上的某些服务会收集泄露的密码和数据库,然后启用付费订阅或一次性访问其收藏。2022年10月,臭名昭著的勒索软件组织LockBit入侵了一家医疗保健公司并窃取了其包含医疗信息的用户数据库。他们不只是在暗网上出售对这些信息的订阅——大概他们是在同一个黑市上购买初始访问权。提供对包含被盗数据的数据库的付费访问的暗网服务暴力攻击在某些情况下,网络犯罪分子甚至不需要窃取数据库来查找您的密码并侵入您的帐户。他们可以使用暴力攻击,换句话说,尝试典型密码的数千种变体,直到一个有效。是的,这听起来不太可靠。但他们不需要遍历所有可能的组合——有某些工具(WordlistGenerators)可以根据受害者的个人信息(所谓的暴力字典)生成可能的常用密码列表。这些程序看起来像是关于受害??者的迷你问卷。他们要求提供姓名、出生日期、伴侣、子女甚至宠物等个人信息。攻击者甚至可以添加他们知道的关于可以添加到组合中的目标的其他关键字。使用这种相关词、名称、日期和其他数据的组合,密码字典生成器创建了数千个密码变体,攻击者稍后在登录时尝试使用这些变体。可以根据有关目标受害者的已知信息生成用于暴力攻击的字典.要使用这种方法,网络罪犯首先需要进行研究——而这正是那些泄露的数据库可能派上用场的地方。它们可能包含出生日期、地址或“秘密问题”的答案等信息。另一个数据来源是社交网络中的过度分享。一些看起来绝对微不足道的东西,比如一张12月6日的照片,上面写着“今天是我心爱的小狗的生日”。密码泄露或暴力破解的可能后果有一些明显的后果:网络犯罪分子可以接管您的帐户并持有它以索取赎金,用它来欺骗您的联系人和在线朋友,或者,如果他们能够访问您的银行网站或应用程序密码,您的帐户可能会被删除。然而,有时他们的意图并不那么直接。例如,随着越来越多的游戏引入游戏内货币,越来越多的用户将他们的支付方式与他们的账户相关联。这使游戏玩家成为黑客的目标。通过获得对游戏帐户的访问权限,他们可以窃取游戏中的贵重物品,例如皮肤、稀有物品或内部游戏货币,或者滥用受害者的信用卡数据。泄露的数据库和在搜索您的帐户时可以获得的信息不仅可以用于经济利益,还可以用于声誉损害和其他类型的社会危害。如果您是名人,您可能会被勒索并面临选择:泄露个人信息(这可能会影响您的声誉)或赔钱。即使您不是名人,也可能成为受害者—在网上泄露某人的身份信息的行为—例如他们的真实姓名、家庭住址、工作场所、电话、财务和其他个人信息。此类攻击的范围从相对无害的攻击,例如以您的名义注册无数邮件列表或虚假外卖订单,到更危险的攻击,例如各种形式的网络欺诈、身份盗用,甚至是面对面的跟踪。最后,如果您对个人和工作帐户使用相同的密码,网络犯罪分子可以接管您的公司电子邮件并将其用于商业电子邮件妥协方案甚至有针对性的攻击。如何首先保护您的帐户免受不必要的访问-始终牢记密码使用原则:不要为多个帐户重复使用相同的密码;让您的密码又长又复杂;安全地存储密码;在受此密码保护的服务或网站上出现数据泄露的消息后,立即更改密码。主要的密码管理器软件可以帮助您完成所有这些任务,并实时监控所有密码的安全性。一些密码管理器甚至提供服务来检查是否确实发生了泄漏。通常称为数据泄漏检查器,此功能可让您检查您的电子邮件是否已在某处被盗的数据库中找到。如果它已被破坏,您将收到一份被破坏站点的列表、暴露的数据类型(个人、银行、在线活动历史等),以及如何处理的建议。以下是一些额外的建议:1.尽可能启用双因素身份验证。它提供额外的安全层,防止黑客访问您的帐户-即使有人设法获取您的登录名和密码。2.设置您的社交网络以获得更好的隐私。这将使查找有关您的信息变得更加困难,从而使针对您帐户的暴力字典攻击变得复杂。3.停止过度分享个人信息,即使只有朋友才能看到。今天的朋友可能会成为明天的敌人。本文翻译自:https://www.kaspersky.com/blog/how-criminals-can-get-your-password/46716/
