当前,至少有150亿个凭证在各种黑市和论坛上流传,这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。
经过安全公司Digital Shadows的调查报告显示,多数泄露都是由于消费者自身对数据不够重视所导致的,于是黑客们可以利用这些凭证和数据,来发动凭证填充攻击。
报告显示:暴力破解工具和帐户检查程序在黑市和论坛上都有售卖,平均售价为4美元,其中最受欢迎的市场是UnderWorld(以前为RichLogs)和Tenebris,但最大的市场仍然是Genesis Market。
部分用户名和密码组合都是免费提供的,其中有50亿张凭证是“独一无二”“可售卖的”,这50亿张凭证的平均售价是15.43美元,防病毒帐户是20多美元,而其他类型的帐户(有线电视、社交媒体、流媒体、成人、音乐、文件共享和视频游戏帐户)通常不到10美元。
最昂贵的帐户是用于域管理员访问的,因为它们在网络上提供了最高级别的信任和控制,所以许多广告公司通过拍卖来提供域名管理员的访问权限,并以高达12万美元(平均3139美元)的价格将其卖给出价最高者。
这些价格的定位取决于所在行业,其中对地方政府和金融部门的要价最高。
如今凭据很少以纯文本形式出现,许多服务会检查指纹数据以识别未经授权的登录尝试。
于是黑市又开发了新的模式,比如Genesis Market的用户可以租用帐户访问权限来代替购买凭据,在一定时期内,使用最近推出的ATO“即服务”模式,罪犯可以用不到10美元的价格租用一个身份,该服务还提供了受害者的“指纹数据”(例如cookie,IP地址,时区),使其看起来像合法的所有者登录,从而更容易劫持帐户和执行交易而不会被发现。
从直接销售数据到通过凭证填充获得对其他帐户的访问权,再到租用帐户,使用数据创建综合身份,再到进行欺诈,网络罪犯有各种各样的赚钱方法。
除了破解密码外,攻击者们可以利用来自数据泄露的凭据列表,轻松地部署凭据填充(凭据重用)攻击,从而使同一用户可以访问更多帐户,并有机会收集更多个人信息。
长期以来,Sentry MBA一直是凭证填充攻击的最爱。它具有绕过某些安全防护(例如IP位置或速率限制)的功能。这使它可以尝试使用数百万个用户名和密码的组合,以找到目标网站的有效登录名。
在网络犯罪论坛上广泛讨论的另一种工具是OpenBullet,截至2020年,已占整个网络犯罪论坛的35%,这是一种网站测试套件,可以在目标Web应用程序上运行请求。它具有开源特性,自定义选项和较低的CPU使用率,以及随附的用于解析和抓取的工具,因此使其成为有吸引力的选择。
下图显示了网络犯罪分子在2020年提到的一组凭证验证工具。
对于普通用户而言,防御ATO攻击是一项轻松的任务,他们可以选择强而唯一的密码,并在支持该功能的服务上启用两因素身份验证(2FA),但这不能完全消除风险。
【环球网记者 谭雅文】香港金融管理局先前已协助中国人民银行进行数字人民币跨境...
Gartner预测了一系列安全趋势,都是可能在2020乃至未来出现的新现象,其中主要包...
自从去年国庆之后深圳开始测试之后,数字人民币正在快速推动,现在六大国有银行...
研究人员发现了一种被称为LogoKit的网络钓鱼工具包,它可以自动将目标公司的logo...
SQL注入工具主要是针对Web服务器后台数据库的注入,其主要目的是获取数据库中的...
新冠肺炎疫情期间,视频会议软件使用量激增,其中表现最为抢眼的就是Zoom了。Zoo...
身边不少朋友手里都持有比特币,即便是没有比特币的人,也会对比特币有所关注。...
提起电子支付,时下最火的应该就是央行发行的数字货币了。现在移动支付已经如此...
在2019年7月1日至2020年6月30日期间,微软已通过15个漏洞赏金计划向已报告漏洞的...
截止目前,勒索软件依旧是威胁全球网络安全的一大毒瘤,不过有调查称,受勒索软...