Video: // Злокодинг #2 // Botnet на основе HiddenLake // (Tháng Chín 2024)
Đầu tuần này, Trustwave đã công bố nghiên cứu của họ về một mạng botnet lớn, một trong số nhiều người được quản lý bằng bộ điều khiển botnet Pony. Các nhà nghiên cứu đã giành được quyền kiểm soát botnet, thay thế máy chủ Command and Control của nó. Khi đã kiểm soát, họ phát hiện ra rằng botnet đã đánh cắp khoảng hai triệu mật khẩu từ các máy tính bị nhiễm. Họ cũng phát hiện ra một điều mà hầu hết chúng ta đều biết: mọi người rất tệ về mật khẩu.
Lấy mật khẩu
Hai triệu tài khoản bị xâm phạm đã được trải đều giữa 1, 58 triệu thông tin trang web, 320.000 thông tin đăng nhập email, 41.000 tài khoản FTP, 3.000 thông tin trên máy tính từ xa và 3.000 thông tin tài khoản Secure Shell là một số lượng đáng kể. Tất nhiên, mối quan tâm là có bao nhiêu người dùng bị ảnh hưởng đã chọn cùng một mật khẩu cho các trang web khác.
Các nhà nghiên cứu đã tìm thấy 318.121 thông tin đăng nhập Facebook chiếm tới 57% tổng số. Yahoo tiếp theo với khoảng 60.000 tài khoản, tiếp theo là 21.7708 tài khoản Twitter, 8.490 mật khẩu LinkedIn và 7.978 tài khoản cho nhà cung cấp bảng lương ADP. Điều cuối cùng này là một chút khác thường, nhưng cũng khá tai hại vì nó cho phép kẻ tấn công truy cập vào thông tin cá nhân của nạn nhân.
Điều làm tôi sợ nhất là 16.095 thông tin đăng nhập Google.com và 54.437 thông tin đăng nhập tài khoản Google. Chúng có thể cho phép kẻ tấn công truy cập Gmail và từ đó đặt lại các mật khẩu khác bằng tính năng "quên mật khẩu của tôi" trên các trang web. Nó cũng có thể cung cấp cho kẻ tấn công quyền truy cập vào các tệp riêng tư trong Google Drive hoặc thông tin thanh toán trong Google Wallet.
Tất cả điều này không có nghĩa là có một cuộc tấn công lớn vào các trang web này. Nhiều khả năng bọn tội phạm đã tìm cách thu thập các địa chỉ này thông qua nhiều phương tiện, chẳng hạn như lừa đảo và keylogger và đã lưu trữ chúng trên các máy chủ này. Họ có thể bán chúng cho những người mua khác hoặc lưu chúng để sử dụng trong tương lai.
Mật khẩu khủng khiếp, một lần nữa
Trustwave đã chia mật khẩu thành các loại: sáu phần trăm trong số đó là "khủng khiếp", trong khi 28 phần trăm trong số đó là "xấu". 22 phần trăm kết hợp là "tốt" hoặc "xuất sắc" và 44 phần trăm là "trung bình". Trong số những thứ tồi tệ nhất là: 123456, 123456789, 1234 và "mật khẩu".
Hầu hết các mật khẩu không trộn lẫn chữ và số. Đa số các mật khẩu là tất cả các chữ cái (cùng trường hợp) hoặc tất cả các số, theo sau là mật khẩu có hai loại (ví dụ, kết hợp chữ in hoa và chữ thường hoặc chữ thường với số), Trustwave nói.
Một phát hiện tốt là gần một nửa mật khẩu 46% mật khẩu có mật khẩu dài, từ 10 ký tự trở lên. Trustwave cho biết, phần lớn các mật khẩu nằm trong phạm vi sáu đến chín ký tự.
Mục tiêu cấu hình cao
Theo như Lucas Zaichkowsky, một kiến trúc sư dữ liệu doanh nghiệp tại AccessData, lo ngại, mối lo ngại lớn hơn là bọn tội phạm sẽ tìm kiếm các tài khoản thuộc về những người "tại các tổ chức mục tiêu có giá trị cao". Nếu hóa ra những người này đã sử dụng cùng một mật khẩu trên các trang này cũng như cho các tài nguyên liên quan đến công việc, thì kẻ tấn công có thể xâm nhập vào mạng công ty thông qua VPN hoặc gửi email qua máy khách dựa trên Web, Zaichkowksy lưu ý.
"Họ có thể bán các tài khoản có giá trị cho những người khác trên thị trường chợ đen, những người trả số tiền lớn cho các thông tin hợp lệ để đưa họ vào các tổ chức mục tiêu có lợi nhuận", Zaichkowksy nói.
Mọi người sử dụng địa chỉ email công việc của họ cho các hoạt động cá nhân, chẳng hạn như đăng ký tài khoản trên Facebook. Cesar Cerrudo, CTO của IOActive, đã tìm thấy nhiều nhân viên quân sự khác nhau, bao gồm cả tướng và trung tướng ("tướng tương lai", Cerrudo gọi họ) đã sử dụng địa chỉ email .mil của họ để tạo tài khoản trên trang web du lịch Orbitz, công ty GPS garmin.com, Facebook, Twitter và Skype, để đặt tên cho một số. Điều này làm cho triển vọng sử dụng lại mật khẩu thậm chí còn có vấn đề hơn, vì những cá nhân này rất có giá trị như mục tiêu và có quyền truy cập vào nhiều thông tin nhạy cảm.
Giám đốc kỹ thuật của Qualys Mike Shema, tuy nhiên, nói rằng ông nhìn thấy hy vọng trong tương lai. "Hướng tới năm 2014, xác thực hai yếu tố sẽ tiếp tục đạt được động lực trong toàn bộ công nghệ doanh nghiệp và người tiêu dùng và nhiều ứng dụng cũng sẽ bắt đầu áp dụng hai yếu tố. Chúng tôi cũng sẽ thấy sự phát triển của kỹ thuật mật mã thông minh cho mật khẩu đa xác thực. " Xác thực hai yếu tố yêu cầu bước xác thực thứ hai, giống như một mã đặc biệt được gửi qua tin nhắn văn bản.
Giữ an toàn
Sự đồng thuận chung là các mật khẩu này được thu thập từ các máy của người dùng và không lấy cắp thông tin đăng nhập từ các trang web, đây là một sự thay đổi dễ chịu. Keylogger là một nghi phạm có khả năng, và đặc biệt nguy hiểm. Các ứng dụng độc hại này không chỉ có thể chụp phím, mà còn có thể chụp ảnh màn hình, nội dung trong bảng tạm của bạn, các chương trình bạn khởi chạy, các trang web bạn truy cập và thậm chí chọn lọc qua các cuộc hội thoại IM và chuỗi email. May mắn thay, hầu hết các phần mềm chống vi-rút nên có bạn bảo hiểm. Chúng tôi khuyên người chiến thắng giải thưởng Sự lựa chọn của biên tập viên Webroot SecureAnywhere AntiVirus (2014) hoặc Bitdefender Antivirus Plus (2014).
Lưu ý rằng một số chương trình AV không chặn "greyware" hoặc "các chương trình không mong muốn theo mặc định. Keylogger đôi khi rơi vào danh mục này, vì vậy hãy chắc chắn bật tính năng này.
Lừa đảo và các chiến thuật khác để lừa nạn nhân đưa ra thông tin mật khẩu khó bị chặn hơn. May mắn thay, chúng tôi có rất nhiều mẹo về cách phát hiện các cuộc tấn công lừa đảo và cách tránh
Quan trọng nhất là cho mọi người sử dụng một trình quản lý mật khẩu. Các ứng dụng này tạo và lưu trữ mật khẩu độc đáo, phức tạp cho mọi trang web hoặc dịch vụ bạn sử dụng. Họ cũng sẽ tự động đăng nhập bạn, khiến cho các keylogger khó lấy thông tin của bạn hơn nhiều. Hãy chắc chắn dùng thử Dashlane 2.0 hoặc LastPass 3.0, cả hai đều là người chiến thắng giải thưởng Sự lựa chọn của ban biên tập của chúng tôi để quản lý mật khẩu.
