Botnet מחליף שני מיליון סיסמאות, רובן היו ממש גרועות

מוקדם יותר השבוע, Trustwave פרסמו את המחקר שלהם על בוטנט מסיבי, אחד מרבים שהצליח להשתמש בבקר הבוטנט של פוני. החוקרים השיגו שליטה בבוטנט, ותפס את מקומו של שרת הפקודה והבקרה שלו. לאחר השליטה הם גילו שהבוטנט הצליח לגנוב כשני מיליון סיסמאות ממחשבים נגועים. הם גם גילו משהו שרובנו כבר יודעים: שאנשים נוראים עם סיסמאות.

גש לסיסמאות

שני מיליון החשבונות שנפרצו התפזרו בין 1.58 מיליון אישורי אתר, 320, 000 כניסות דוא"ל, 41, 000 חשבונות FTP, 3, 000 אישורי שולחן עבודה מרוחק, ו -3, 000 אישורי חשבונות של Shell Secure Shell היא בחירה משמעותית. הדאגה היא כמובן שכמה מהמשתמשים המושפעים בחרו באותה סיסמה עבור אתרים אחרים.

החוקרים מצאו 318, 121 תעודות פייסבוק שהיוו 57 אחוז מסך הכל. יאהו הייתה הבאה עם כ -60, 000 חשבונות, אחריה 21, 708 חשבונות טוויטר, 8, 490 סיסמאות לינקדאין ו -7, 978 חשבונות עבור ספקית השכר ADP. האחרון זה קצת יוצא דופן, אך גם די מזיק מכיוון שהוא נותן לתוקפים גישה למידע האישי של הקורבנות.

מה שהכי הפחיד אותי היו 16, 095 אישורי Google.com ו- 54, 437 תעודות חשבון Google. אלה יכולים לאפשר לתוקפים לגשת ל- Gmail, ומשם לאפס סיסמאות אחרות באמצעות התכונה "שכחתי את הסיסמה שלי" באתרים. זה יכול גם לתת לתוקפים גישה לקבצים פרטיים בכונן Google, או למידע על תשלומים בארנק Google.

כל זה לא אומר שהייתה מתקפה מאסיבית נגד אתרים אלה. סביר יותר שפושעים הצליחו לקצור כתובות אלה באמצעים מרובים, כמו דיוג וקליוגרפים, ואחסנו אותם בשרתים אלה. הם יכולים למכור אותם לקונים אחרים או לחסוך אותם לשימוש עתידי.

סיסמאות איומות, שוב

Trustwave חילק את הסיסמאות לקטגוריות: שישה אחוז מהם היו "נוראים", ואילו 28 אחוז מהם היו "רעים". 22 אחוזים משולבים היו "טובים" או "מצוינים" ו 44 אחוז "בינוני". בין הגרועים ביותר היו: 123456, 123456789, 1234 ו- "סיסמא".

מרבית הסיסמאות לא שילבו אותיות ומספרים. Trustwave אמר כי רוב הסיסמאות היו כל האותיות (אותו אותיות) או כל המספרים, ואחריהן הסיסמאות שהיו בעלות שני סוגים (תמהיל של אותיות גדולות וקטנות או אותיות קטנות עם מספרים, למשל).

ממצא טוב אחד היה שכמעט מחצית - 46 אחוז - מהסיסמאות היו עם סיסמאות ארוכות, של 10 תווים ומעלה. רוב הסיסמאות היו בטווח של שש עד תשע תווים, אמר Trustwave.

יעדי פרופיל גבוה

מבחינת לוקאס זאיצ'קובסקי, אדריכל נתונים ארגוני ב- AccessData, הדאגה הגדולה יותר היא שהפושעים יחפשו חשבונות השייכים לאנשים "בארגוני יעד בעלי ערך גבוה." אם יתברר שאנשים אלו השתמשו באותם סיסמאות באתרים אלה כמו גם למשאבים הקשורים לעבודה, אז התוקפים יכולים לפרוץ לרשת הארגונית באמצעות VPN או דוא"ל באמצעות לקוח מבוסס אינטרנט, ציין Zichichowsky.

"הם יכולים למכור את החשבונות החשובים לאחרים בשוק השחור שמשלמים כסף גדול עבור אישורים תקפים שמביאים אותם לארגוני יעד רווחיים", אמר זייצ'וקובסקי.

אנשים כן משתמשים בכתובות הדוא"ל בעבודה שלהם לצורך פעילויות אישיות, כגון הרשמה לחשבונות בפייסבוק. Cesar Cerrudo, CTO של IOActive, מצא אנשי צבא שונים, בהם אלופים וסמלים ("אלופים עתידיים", כך קרא להם סרודו) השתמשו בכתובות הדוא"ל שלהם.mil כדי ליצור חשבונות באתר הנסיעות Orbitz, חברת GPS garmin.com, Facebook, טוויטר וסקייפ, אם נזכיר כמה. זה הופך את הסיכוי לשימוש חוזר בסיסמה לבעייתי עוד יותר, מכיוון שאנשים אלה חשובים מאוד כיעדים ויש להם גישה להרבה מידע רגיש.

עם זאת, מנהל ההנדסה של קוואליס, מייק שמע, אמר כי הוא רואה תקווה בעתיד. "במבט לעבר 2014 אימות דו-גורמי ימשיך לצבור תאוצה בכל הטכנולוגיה הארגונית והצרכנית, ואפליקציות רבות יתחילו לאמץ גם שני גורמים. נראה גם את עליית ההנדסה הקריפטו החכמה עבור סיסמאות מרובות אימות. " אימות דו-גורמי מחייב שלב אימות שני, כמו קוד מיוחד שנשלח באמצעות הודעת טקסט.

להישאר בטוח

הקונצנזוס הכללי הוא שסיסמאות אלו נבצרו ממכונות משתמשים ולא גנבו מידע כניסה מאתרים - וזהו שינוי קצב נעים. Keyloggers הם חשודים ככל הנראה, ומסוכנים במיוחד. יישומים זדוניים אלה לא יכולים רק ללכוד הקשות, אלא יכולים ללכוד צילומי מסך, תוכן הלוח שלך, התוכניות שאתה מפעיל, האתרים שבהם אתה מבקר ואפילו לנפות באמצעות שיחות צ'אט ושלילי דוא"ל. למרבה המזל, רוב תוכנות האנטי-וירוס צריכות להיות מכוסות. אנו ממליצים לזוכים בפרס בחירת העורכים Webroot SecureAnywhere AntiVirus (2014) או Bitdefender Antivirus Plus (2014).

שים לב שכמה מתוכנות AV אינן חוסמות "תוכנות גרו-תוכנה" או "תוכניות שעלולות להיות בלתי רצויות כברירת מחדל. Keyloggers לפעמים נכללות בקטגוריה זו, לכן הקפד להפעיל תכונה זו.

קשה יותר לחסום דיוג וטקטיקות אחרות כדי להערים על קורבנות למסור מידע על סיסמאות. למרבה המזל יש לנו המון טיפים כיצד לאתר התקפות דיוג ואיך להימנע התקפות הנדסה חברתית . כל מה שצריך זה קצת מחשבה נוספת, ואתה יכול למנוע מלהפוך לנתון.

הכי חשוב שאנשים ישתמשו במנהל סיסמאות. יישומים אלה יוצרים ומאחסנים סיסמאות ייחודיות ומורכבות עבור כל אתר ושירות בו אתה משתמש. הם גם יתחברו אליכם אוטומטית, מה שיקשה על keyloggers לחטוף את המידע שלכם. הקפד לנסות את Dashlane 2.0 או LastPass 3.0, שניהם זוכי פרס העורך שלנו לניהול סיסמאות.