Hold安全公司公布俄羅斯大型泄密事件細節
責編:admin |2014-09-03 14:54:45在8月4日,Hold安全公司宣布,一個俄羅斯的犯罪團伙承認了一場數據泄露事件–竊取了12億用戶名+密碼的組合和5千萬email地址。其中電子郵件賬戶數量大概占了全世界總量近1/3的比例,媒體由此報導了這場“至今為止最大的黑客事件”。
那些防護脆弱的賬戶分布在一個寬廣的范圍內,不論大小和地域,不分個人、大小型企業乃至跨國大公司,都受到了這次事件的波及。一些業內的專家質疑數據的有效性,聲稱數據總量應該更小,破壞在過去幾年中漸漸積累而不是剛剛發生。
Hold安全的報告
直到8月4日,Hold安全公司一直在安全界和情報界保持低調,然而,在盯上該俄羅斯犯罪團伙數據泄露后,該公司已經耗費了大量精力,他們無疑會抓住這次機會。Hold安全公司只發布了數據泄露事件部分信息,并宣布了為此負責的組織名稱。Hold安全公司打算對黑客細節的保持持有,由此作為創收牟利的途徑。
根據時代的山姆弗里澤爾報道,該犯罪團伙,“使用被感染的電腦(也就是我們常說的僵尸網絡),操作一種計算機病毒在網絡上尋找脆弱的網站。每當被感染的計算機用戶訪問網站,該病毒會測試網站是不是那么容易被黑,如果可以,犯罪分子會標記該網站并返回信號,而后會進行SQL注入(黑客術語),這會再現網站數據庫的內容。
數據泄露情報摘要
以下是迄今公布的關于數據泄露報告的信息:
有報道稱12億用戶名+密碼的組合被拖庫,同時遭殃的還有超過5千萬email地址。
Hold安全公司不會放出受害者名字,亦不會公布應為此負責的俄羅斯犯罪團伙成員的名字。
該犯罪團伙組織被認為是一個犯罪圈子的一部分,其駐地位于哈薩克克斯坦和蒙古之間,一個俄羅斯小城的中南部。
俄羅斯黑客攻擊了全球許多目標組織,從財富榜500強到很小的公司,如當地的小網站(也包括俄羅斯的組織)。
似乎沒有特別的辦法證明網站被視為目標的規律。黑客到訪過的任何網站都被拿去收集證據,其中許網站仍然很脆弱。
沒有任何跡象表明該俄羅斯團體在此時出售了那份數據記錄。
這個組織似乎是用竊取來的認證信息,在社交網絡如推特上按其他組織的需求推送垃圾郵件,然后收取相應的費用。
Hold安全公司的網站上提供了途徑,讓個人可以查詢自己的郵件地址或者密碼是否已經泄露。
分析者點評
這種特殊泄露的風險其實在人性本身。由于大多數人使用相同的密碼來登陸多個網站,黑客們意識到到了這個問題,并且利用他們到手的數據這個先決條件,在多個網站上嘗試登陸。這種身份竊取的風險比過去大零售商數據大量泄露事件還要嚴重。而對于發行卡的成本,借記卡或信用卡泄露的更容易防護;發行者可以只通過監控卡運營的系統,如果收到卡對系統進行欺騙的信號,可以將其鎖定。然而身份竊取是一個較為復雜的問題,這需要花費大量時間和資源來解決。
數據將被怎樣利用
證書可用于交叉檢查站點是否允許電子郵件地址作為用戶名。因為常人通常使用一個密碼注冊多個站點,網絡罪犯會嘗試登入那些允許email地址做用戶名的已知網站。取得社交網站的登入權限,能給黑客提供高價值的信息,這可以讓黑客對受害者能夠采取更有針對性的行動。
網絡罪犯也會修改他們的跨站的檢查策略,使用賬戶名信息到“@”符號為止的字符作為用戶名。例如,janedoe@gmail.com中,“janedoe”將作為一個電子郵件密碼的用戶名。常人一般使用老一套的郵件地址和密碼。
脆弱的企業或商用郵箱,也許會被用于做潛在發展的釣魚研究,以針對企業郵箱的擁有者。如果網絡罪犯能夠成功識別個人和公司的電子郵件,他們可以創建一個魚叉式網絡釣魚的電子郵件,通過發送惡意軟件來獲得對方組織的計算機權限。
電子郵件賬戶的主人可能會開始嘗試接收垃圾郵件,這是最容易成功的那種情況。然而,以下幾點可以應用到不同的變化和復雜程度的情況中去:
一般的垃圾郵件(釣魚):這些垃圾郵件被發送到一個大的組群,以標題引誘收件人打開。一旦打開,這些郵件可能包含惡意網站的鏈接或者文件,它們能下載惡意軟件到受害者的電腦里面。
定制的垃圾郵件(釣魚):如果郵件賬戶的信件里有他們與零售商的互動,這就可以能定位賬戶主人的地域位置,同時獲取其通常購買或者通常從該商店買的商品信息。
僵尸版垃圾郵件:犯罪分子可以利用防護脆弱的電子郵件賬戶,向受害者的聯系人列表挨個發送垃圾郵件。這些垃圾郵件,由于發件人為收件人所熟悉,效果大大增強。這會增加目標受害者打開電子郵件和潛在點擊其中惡意鏈接的機會。
在越來越多的關于這次數據泄露的信息和為此埋單的組織被公布后,這筆數據到底被用來做了什么,會漸漸被揭開神秘的面紗。