Site icon 暗网下

暗网市场上有超过246亿个用户登录凭证可供抢购

据风险管理和威胁情报公司Digital Shadows报道,暗网上有超过240亿个被盗的凭证,其中一些凭证非常薄弱,只需一秒钟就能破解它们和它们所保护的账户。

尽管暗网充斥着被盗凭据,但上传新凭据的速度令人担忧。根据Digital Shadows最近的一项研究分析,消费者仍继续使用容易猜到的密码,互联网黑暗角落的欺诈者可以获得大约246亿个登录名和密码组合。

根据这家威胁情报公司的计算,自2020年以来,暗网中可获得的被泄露的凭证数量增加了65%。这些被盗凭证中约有67亿个具有唯一的用户名和密码配对,比2020年增加了17亿个。独特的凭证意味着该凭证组合在其他数据库中没有重复。

2019年,网上被泄露的凭证数量达到顶峰,当时Digital Shadows整理了超过103亿个凭证。自那时起,该数字在随后的两年里一直徘徊在50亿大关左右,该公司预计2022年这一数字将继续保持。

PerimeterX公司的首席营销官Kim DeCarlis称:“Web 应用程序的访问前提是有效的用户名和密码,了解暗网上可用的凭证对的数量,令人大开眼界。”

这些发现来自Digital Shadows的《2022年账户接管报告》,这项研究考察了标题攻击类型的原因。ATO攻击需要目标疏忽基本的网络安全,无论是通过系统错误配置、成为网络钓鱼的牺牲品,还是简单地设置一个弱口令。

例如,重复使用或创建易于猜测的密码类似于晚上不锁家门。它可能并且可能会导致账户被接管,进而导致身份盗窃、金融盗窃、社交媒体垃圾邮件等。

“一旦找到有效的用户名和密码对,网络犯罪分子就可以使用这些凭据登录,并接管合法帐户,通常在许多网站上,因为密码重复使用很常见。”DeCarlis补充道。

“因为凭证是准确的,罪犯很有可能顺利进入账户。由于大多数网站在登录后没有安全检查,他们可以自由地浏览和滥用账户,没有任何问题。这种滥用可能包括转账、兑现积分或购买易于转售的产品。”

使用凭据也是建立初始访问权限的首选方法。Digital Shadows估计,近50%的ATO攻击将凭证作为初始访问媒介,其次是网络钓鱼(近18%)、漏洞利用(近6%)和僵尸网络(不到1%)。

强密码应该是避免大多数ATO攻击的基本规则,这是不言而喻的。然而,123456是最常见的密码,占67亿个唯一泄露密码中的0.46%或30,679,190个。这意味着每200个密码中几乎有一个是123456。诸如“qwerty”或“1q2w3e”之类的键盘组合也很常用。

名次 密码出现的次数
112345630,679,190
212345678917,087,782
3qwerty10,589,340
41234510,368,618
5password8,987,753
6qwerty1235,722,547
71q2w3e5,306,421
8123456785,207,749
9DEFAULT4,507,715
101111113,766,387

此外,前50个最常用的密码中有49个可以在不到一秒的时间内被破解。

这些被泄露的凭证大多在暗网市场上被交易,交易价格取决于账户的年龄、买方的信誉和提供的数据文件的大小。密码文件是否加密或以纯文本形式存在也会影响价格。接下来是凭证填充和其他入侵工作。

DeCarlis进一步称:“网络威胁格局已经改变。曾经独立且截然不同的Web攻击在网络犯罪的持续和综合循环中聚集在一起。一种攻击助长另一种攻击,传播和延长了攻击生命周期,在消费者的数字之旅中无处不在——而网络应用程序是主要目标。”

“在这种情况下,由于凭据被盗已经发生,数字企业应该寻找一种方法来阻止下一步:网络犯罪分子试图验证用户名和密码的凭据填充攻击。对在线企业来说,明智的做法是寻找解决方案,在已知的受损凭证被使用时进行标记,并强制采取诸如简单的密码重置等行动。”

“超越”密码似乎才是未来的明智选择。用户可以利用密码管理器、多因素身份验证和身份验证器应用程序,直到无密码成为全球主流。

DeCarlis总结道:“企业需要考虑连续的登录后验证。现在是时候把目光投向登录以外的地方,以确保用户事实上是他们所说的人,并且正在做他们在账户中应该做的事情。”

“这种全面的账户保护方法将以减少扣款、降低呼叫客户服务、减少IT资源的压力、保护品牌声誉和收入的形式得到回报。”

易于使用的工具通常可通过犯罪市场以最低成本或免费获得,即使是不熟练的脚本小子也可以轻松破解弱密码。

简单地在10个字符的基本密码中添加一个“特殊字符”(例如 @# 或 _)会使破解密码变得更加困难,因此使一个人成为攻击受害者的可能性大大降低,而犯罪分子则进行攻击更容易被破坏的帐户。

Digital Shadows的高级网络威胁情报分析师Chris Morgan表示,尽管行业试图超越密码作为身份验证机制,但凭据泄露的问题仍然很紧迫,并且随着时间的推移变得越来越严重。

Morgan说:“犯罪分子有无穷无尽的被破坏凭据清单,他们可以尝试,但使这个问题更加严重的是薄弱的密码,这意味着许多账户可以在短短几秒钟内使用自动工具猜出来。“

Morgan补充说:“在过去的18个月里,我们Digital Shadows已经提醒我们的客户注意670万个暴露的凭证。这包括其员工、客户、服务器和物联网设备的用户名和密码。”

Exit mobile version