Жизненный цикл взломанной базы данных

Каждый раз, когда происходит очередная утечка данных, нас просят сменить пароль в организации, которая подверглась утечке. Но реальность такова, что в большинстве случаев к тому моменту, когда организация-жертва публично сообщает об инциденте, информация уже многократно собрана киберпреступниками, стремящимися к наживе. Вот более подробный обзор того, что обычно происходит за несколько недель или месяцев до того, как организация уведомляет своих пользователей о взломе базы данных.

Наша постоянная зависимость от паролей для аутентификации способствовала одной утечке токсичных данных или взлому за другой. Можно даже сказать, что пароли – это ископаемое топливо, на котором работает большинство ИТ-модернизаций: Они распространены повсеместно, потому что дешевы и просты в использовании, но это означает, что они также связаны с существенными компромиссами – например, загрязнением Интернета данными, которые становятся оружием в случае их массовой утечки или кражи.

Когда база данных пользователей веб-сайта оказывается взломанной, эта информация неизменно попадает на хакерские форумы. Там люди с компьютерными установками, созданными в основном для добычи виртуальных валют, могут приступить к работе, используя эти системы для взлома паролей.

Насколько успешным будет взлом пароля, во многом зависит от длины пароля и типа алгоритма хэширования паролей, который использует сайт-жертва для маскировки паролей пользователей. Но приличная криптодобывающая установка может быстро взломать большинство хэшей паролей, сгенерированных с помощью MD5 (один из слабых и наиболее часто используемых алгоритмов хэширования паролей).

“Вы передаете это человеку, который раньше занимался майнингом Ethereum или Bitcoin, и если у него достаточно большой словарь [предварительно вычисленных хэшей], то вы сможете взломать 60-70 процентов хэшированных паролей за день или два”, – говорит Фабиан Восар, директор по технологиям компании Emsisoft, занимающейся вопросами безопасности.

После этого список адресов электронной почты и соответствующих взломанных паролей будет пропущен через различные автоматизированные инструменты, которые смогут проверить, сколько пар адресов электронной почты и паролей в данном наборе утечки данных также работают на других популярных сайтах (и небеса помогут тем, кто повторно использовал свой пароль электронной почты в других местах).

Такое просеивание баз данных в поисках низко висящих фруктов и повторного использования паролей чаще всего дает менее одного процента успеха – и обычно гораздо меньше одного процента.

Но даже процент попадания ниже одного процента может быть выгодным для мошенников, особенно если они проверяют базы данных паролей миллионов пользователей. После этого учетные данные в конечном итоге используются для мошенничества и перепродаются в массовом порядке легальным мутным онлайн-сервисам, которые индексируют и перепродают доступ к взломанным данным.

Подобно WeLeakInfo и другим сервисам, работавшим до закрытия правоохранительными органами, эти сервисы продают доступ любому желающему к миллиардам украденных учетных данных по адресу электронной почты, имени пользователя, паролю, интернет-адресу и множеству других типичных полей базы данных.

ЦЕЛЕНАПРАВЛЕННЫЙ ФИШИНГ

Итак, надеюсь, к этому моменту должно быть понятно, почему повторное использование паролей в целом является плохой идеей. Но более коварная угроза со взломанными базами данных исходит не от повторного использования паролей, а от целенаправленной фишинговой активности в первые дни после взлома, когда относительно небольшое количество недоброжелателей получили в свои руки новую взломанную базу данных.

В начале этого месяца клиенты розничного продавца футбольной формы classicfootballshirts.co.uk начали получать электронные письма с предложением “вернуть деньги”. В сообщениях к клиентам обращались по имени и указывали номера прошлых заказов и суммы платежей, привязанные к каждому счету. Письма призывали получателей перейти по ссылке, чтобы принять предложение о возврате наличных, а ссылка вела на похожий домен, который запрашивал банковскую информацию.

Целевое фишинговое сообщение, разосланное клиентам сайта classicfootballshirts.co.uk в этом месяце.

“Вскоре стало ясно, что данные клиентов, относящиеся к историческим заказам, были скомпрометированы для проведения этой атаки”, – говорится в заявлении Classicfootballshirts по поводу инцидента

Элисон Никсон, главный научный сотрудник нью-йоркской компании Unit221B, занимающейся киберразведкой, напомнила, что произошло за несколько недель до 22 декабря 2020 года, когда компания Ledger признала, что кто-то разгласил имена, почтовые адреса и номера телефонов 272 000 клиентов.

По словам Никсон, в предыдущие месяцы она и ее коллеги заметили огромный рост числа атак с подменой SIM-карты – схемы, в которой мошенники обманывают или подкупают сотрудников компаний беспроводной телефонной связи, чтобы те перенаправляли текстовые сообщения и телефонные звонки клиента на устройство, которое они контролируют. Оттуда злоумышленники могут сбросить пароль для любой учетной записи в Интернете, которая позволяет сбрасывать пароль через SMS.

“За неделю или две до этого мы наблюдали множество случаев подмены SIM-карт”, – сказал Никсон. Мы знали, что информация поступает из какой-то базы данных, но не могли понять, какой сервис их объединяет”. После того как база данных Ledger стала достоянием общественности, мы начали изучать жертв [подмены SIM-карт] и обнаружили, что 100 процентов из них присутствовали в базе данных Ledger”

В заявлении по поводу взлома компания Ledger сообщила, что данные, скорее всего, были украдены в июне 2020 года, то есть у хакеров было примерно шесть месяцев для проведения целевых атак с использованием чрезвычайно подробной информации о клиентах.

“Если бы вы посмотрели [на киберпреступных форумах] на историю сообщений людей об этой базе данных Ledger, вы бы увидели, что люди продавали ее в частном порядке в течение нескольких месяцев до этого”, – сказал Никсон. “Похоже, что эта база данных медленно распространялась все шире и шире, пока кто-то не решил убрать большую часть ее ценности, выложив все это в открытый доступ”

Вот несколько советов, которые помогут не стать жертвой непрекращающихся утечек данных и все более изощренных фишинговых схем:

-Ненажимайте на ссылки и вложения в электронной почте, даже в тех сообщениях, которые кажутся отправленными от кого-то, о ком вы слышали ранее. Как показывают приведенные выше примеры фишинга, многие современные фишинговые аферы используют элементы из взломанных баз данных, чтобы сделать свои приманки более убедительными.

-Неожиданностьдолжна быть огромным красным флажком. Большинство фишинговых афер используют временной элемент, который предупреждает о негативных последствиях, если вы не отреагируете или не будете действовать быстро. Сделайте глубокий вдох. Если вы не уверены в легитимности сообщения, посетите сайт или сервис вручную (в идеале, используя закладку браузера, чтобы избежать потенциальных сайтов с опечатками).

-Не используйте пароли повторно. Если вы относитесь к тем людям, которые любят использовать один и тот же пароль на нескольких сайтах, то вам обязательно нужно использовать менеджер паролей. Это потому, что менеджеры паролей берут на себя утомительную задачу создания и запоминания уникальных, сложных паролей от вашего имени; все, что вам нужно делать, – это помнить один надежный основной пароль или ключевую фразу. По сути, вы получаете возможность использовать один и тот же пароль на всех веб-сайтах. Среди наиболее популярных менеджеров паролей можно назвать Dashlane, Keepass, LastPass и Roboform.

-Фишинг с помощью телефонов также использует взломанные базы данных: Очень многие мошенники действуют по телефону, используя личную и финансовую информацию, полученную в результате утечки данных в прошлом, чтобы выглядеть более правдоподобно. Если вы думаете, что никогда не попадетесь на уловки мошенников, пытающихся обмануть вас по телефону, ознакомьтесь с этой историей о том, как у одного технически подкованного профессионала мошенник, выдававший себя за кредитный союз, выманил тысячи долларов. Помните: если есть сомнения, повесьте трубку, посмотрите наверх и перезвоните.

Оставьте комментарий