現代人總是被一連串的密碼纏身,無數的網上服務需要進行登入認證,而對網絡犯罪份子而言就具備多豐富的「意義」,除了是工作的重要工具、瞭解某人人生的捷徑,也是可出售的商品,瞭解犯罪份子如何取得用戶的密碼,才能防止自己成為受害者。
網絡釣魚
網絡釣魚是眾多憑證收集的方法中最倚靠人為犯錯的方法,每日都有數百個網絡釣魚網站出現,再加數千個電郵代為「引路」,而且網絡釣魚歷史悠久,差不多自互聯網出現時已經存在,所以犯罪份子的社交工程及策略都發展得相當成熟,即使是專業人士有時也難以分辨釣魚電郵的真偽。
惡意程式
另一種常見盜取憑證的方法就是透過惡意程式,根據Kaspersky的統計,活躍中的惡意程式中很大部份屬於木馬盜竊工具,他們的主要目的是等待用戶登入某些網站或服務,然後複製密碼並發送給惡意程式創作者,如果用戶沒有安裝防護方案,木馬程式可以隱藏於電腦內數年而不被察覺,因為他們不會造成可視的傷害,只會靜靜地做他們的「工作」。此外,網絡犯罪份子有時會在網站加入web skimmer去偷取所有用戶輸入的資料,包括登入憑證、姓名、付費卡資料等等。
第三方洩露資料
有時候出錯的一方並非自己,但你的密碼也會從不安全的互聯網服務或公司,把客戶資料外洩到犯罪份子手上,當然,認真對待網絡安全的公司可以選擇不儲存用戶密碼,或以加密方式儲存,但用戶永遠無法確定保護工作是否做足,例如今年SuperVPN便外洩了2100萬用戶的登入憑證和個人資料。有些公司無可避免需要儲存用戶的密碼,例如密碼管理工具LastPass便經歷被黑客入侵雲端儲存的事件,率及客戶資料及客戶的備份,幸好備份都妥善加密,LassPass也從不儲存和知道解密金鑰,不過如果外洩資料的客戶有重複使用密碼的習慣,網絡犯罪份子也有機會取得相關的資料。
初始存取中間人
另一個取得從盜竊得來的密碼的來源就是地下市場,現代網絡犯罪份子傾向在各自的範疇專門化,他們可能盜取你的密碼但不需要使用,批量出售可能令他們獲利更多,對其他網絡犯罪份子而言購買密碼資料庫有一定吸引力,由於很多用戶會在複數平台及帳號使用相同密碼及電郵,所以購買密碼數據庫就滿足他們的需求,他們可藉此取得受害者複數帳號,由遊戲帳號至個人電腦,以至成人網站的帳號等等。
公司外洩的資料庫無論是否含有憑證,也同樣會在地下市場出售,售價會隨資料數量和公司的行業而有分別,部份含有密碼的數據庫可能以數百美元出售。在地下市場也有收集外洩密碼和資料庫的服務,然後透過付費訂閱或一次性存取他們的收集,在2022年10月惡名昭彰的LockBit入侵醫療保健公司,盜取含有醫療資料的用戶數據庫,他們不僅在地下市場出售這些資料的訂閱存取,很可能他們也有在地下市場購買初始存取資料。
暴力破解
在某些個案,網絡犯罪份子甚至不需要從被盜的資料庫尋找你的密碼來入侵你的帳號,他們使用暴力破解的方法,不斷嘗試密碼組合直至成功為止,看起來不太可靠,其實他們無需嘗試全部組合,可以透過某些工具因應受害者的個人資燉,去產生可能的常見密碼清單。這些工具看似一份關於受害人的小型問卷,回答姓名、出生日期、伴侶、小孩甚至寵物的個人資料,攻擊者也可以加入他們知道的額詞語加以混合,使用這些混合的關連詞去產生數以千計的密碼組合。
使用這種方法時網絡犯罪份子首先需要進行研究,合併從不同來源取得的個人資料,從細微的蛛絲馬跡中找出與密碼有關的資訊。
被洩露或被破解密碼的後果
密碼落入網絡犯罪份子手上,他們便可以控制用戶的帳號並進行勒索,使用它對通訊列中的人或網上朋友進行詐騙,如果獲得銀行網站或應用程式的密碼,便可以把帳號內的金錢清空,然而有時候他們的目標並非如此直接,例如:很多遊戲會含有遊戲內的貨幣和微交易,因此很多用戶把付費資料連結到他們的帳號,因此也引起黑客的興趣,只要取得遊戲帳號,他們就能盜取遊戲內有價值的道具和遊戲內的金錢,以及濫用受害者的信用卡資料。
從資料庫外洩的資料不但可能引致經濟損失,也可能對聲譽和社交帶來負面影響,尤其是知名人士的影響更大,即使你不是明人也可能成為「被起底」的對像,姓名、住址、電話、工作甚至財務狀況被公開於網上,更甚者是被登記無數的服務或者是身份盜竊。最後,如果個人帳號和工作帳號使用相同密碼,便有可能令公司的電郵也遭「毒手」,隨時引發針對性攻擊。
保護帳號防止不法存取
首先要有良好的密碼意識:
- 不要複數帳號重用相同密碼
- 確保密碼組合夠長和複雜
- 安全地保存密碼
- 知道服務或網站資料外洩後立即更改密碼
- 盡量啟動雙重登入認證,提供多一重保安,即使黑客取得密碼也難以得手。
- 社交網絡設定更好的私隱設定,令他人更難取得你的資料進行暴力碼解。
- 停止過度分享個人資料,即使只有朋友能看到。
資料來源:Kaspersky Blog
