您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

您的密码是如何落入坏人之手的?

时间:2023-01-28 16:17:57  来源:51CTO  作者:

对于我们大多数人来说,密码只是无数在线服务最常用的身份验证方法。但对于网络犯罪分子而言,它的意义远不止于此——进入他人生活的捷径、至关重要的作案工具以及可以出售的商品。

知道密码后,骗子不仅可以获取您的帐户、数据、金钱,甚至身份;他们还可以将您作为薄弱环节来攻击您网络上的朋友、亲戚,甚至您工作或管理/拥有的公司。为防止这种情况,您首先需要了解外人如何窃取您的密码。

您的密码如何落入网络罪犯之手?

有一种普遍的误解认为,要将您的密码提供给网络骗子,您需要犯一个错误——从  互联网下载并运行未经检查的文件,打开来自未知发件人的文档,或者在某些可疑网站上输入您的凭据。诚然,所有这些行为模式都可以让攻击者的生活更轻松,但也有其他情况。以下是获取帐户访问权限的最常见网络犯罪方法。

网络钓鱼

这确实是主要依赖人为错误的凭证收集方法之一。每天都会出现数百个网络钓鱼站点,尤其是在数以千计指向这些钓鱼网站的邮件的帮助下。但是,如果您出于某种原因认为您永远不会被网络钓鱼的把戏所欺骗——那您就错了。该方法几乎与互联网本身一样古老,因此网络犯罪分子有足够的时间来开发大量的社会工程学技巧和伪装策略。即使是专业人士,有时也无法一眼就辨别出钓鱼邮件和真实邮件。

恶意软件

窃取凭据的另一种常见方法是使用恶意软件。根据我们的统计,很大一部分活跃的恶意软件由木马窃取程序组成,其主要目的是等待用户登录某个站点或服务,然后复制他们的密码并将其发回给其作者。如果您不使用电脑安全防护解决方案,特洛伊木马可能会在您的计算机上隐藏多年而不被发现,那么您不会知道出了什么问题,因为它们不会造成任何明显的伤害,只是默默地执行它们的工作。

窃取密码的特洛伊木马并不是唯一寻找密码的恶意软件。有时,网络犯罪分子会在网站上注入网络浏览器并窃取用户输入的任何内容,包括凭据、姓名、银行卡详细信息等。

第三方泄密

成为一些不安全的互联网服务的用户或会泄露包含其客户数据的公司的客户也会泄露您的密码。当然,认真对待网络安全的公司根本不会存储您的密码,或者至少会以加密的形式存储。但你永远无法确定是否采取了足够的安全保护措施。例如,今年SuperVPN泄露的信息包含 2100 万用户的个人详细信息和登录凭据。

此外,有些公司根本无法避免存储您的明文密码。是的,我说的是臭名昭著的 LastPass 密码管理实用程序黑客攻击。根据最新信息,一个未知的攻击者使用一些客户数据访问了基于云的存储,包括客户保险库的备份。是的,这些保险库已正确加密,LastPass 从未存储甚至不知道解密密钥。但是,如果 LastPass 的客户使用已经从其他来源泄露的密码登录了他们的保险库怎么办?如果他们重复使用不安全的密码,那么现在网络犯罪分子将能够一次访问他们的所有帐户。

初始访问代理

在这里,我们来到了另一个被盗密码的来源——黑市。现代网络犯罪分子更喜欢专注于某些领域。他们可能会窃取您的密码,但不一定会使用它们:批发销售密码更有利可图。购买此类密码数据库对网络犯罪分子特别有吸引力,因为它为他们提供了一个多合一的功能:用户倾向于在多个平台和帐户中使用相同的密码,通常将它们全部绑定到同一封电子邮件。因此,有了来自一个平台的密码,网络犯罪分子就可以访问受害者的许多其他帐户——从他们的游戏帐户到他们的个人电子邮件,甚至是成人网站上的私人帐户。

您的密码是如何落入坏人之手的?

黑客论坛的一则广告:有人以4000美元的价格提供28万个各种游戏平台的用户名和密码

泄露的公司数据库可能包含也可能不包含凭据,也在同一个黑市上出售。此类数据库的价格因数据量和组织所在行业而异:一些密码数据库可能售价数百美元。

暗网上的某些服务会聚合泄露的密码和数据库,然后启用付费订阅或一次性访问它们的集合。2022 年 10 月,臭名昭著的勒索软件组织 LockBit入侵了一家医疗保健公司,并窃取了其包含医疗信息的用户数据库。他们不仅在暗网上出售对这些信息的订阅——大概他们在同一个黑市上购买了初始访问权。

您的密码是如何落入坏人之手的?

一种暗网服务,提供对包含被盗数据的数据库的付费访问

暴力攻击

在某些情况下,网络罪犯甚至不需要窃取数据库就可以找到您的密码并侵入您的帐户。他们可以使用暴力攻击,换句话说,尝试数千种典型的密码变体,直到其中一种有效。是的,这听起来不太可靠。但他们不需要遍历所有可能的组合——有某些工具(wordlist Generators)可以根据受害者的个人信息生成可能的常用密码列表(所谓的暴力字典)。

这些程序看起来像是一份关于受害者的迷你问卷。他们询问姓名、姓氏、出生日期、伴侣、孩子甚至宠物的个人信息。攻击者甚至可以添加他们知道的关于目标的额外关键字,这些关键字可以被添加到组合中。使用这种相关词、名称、日期和其他数据的组合,密码字典生成器创建了数千个密码变体,攻击者稍后在登录时尝试使用这些变体。

您的密码是如何落入坏人之手的?

可以根据有关目标受害者的已知信息为暴力攻击生成字典。

要使用这种方法,网络犯罪分子首先需要进行研究——这时那些泄露的数据库可能会派上用场。它们可能包含出生日期、地址或“秘密问题”的答案等信息。数据的另一个来源是社交网络中的过度分享。一些看起来绝对微不足道的东西,比如一张 12 月 6 日的照片,上面写着“今天是我心爱的小狗的生日”。

密码泄露或暴力破解的可能后果

有一些明显的后果:网络犯罪分子可以接管您的帐户并持有它以勒索赎金,用它来欺骗您的联系人和网友,或者,如果他们能够获得您的银行网站或应用程序的密码,则有可能清空您的帐户。然而,有时他们的意图并不那么直接。

例如,随着越来越多的游戏引入游戏内货币,越来越多的用户将他们的支付方式与他们的账户相关联。这使得游戏玩家成为黑客的目标。通过获得对游戏帐户的访问权限,他们可以窃取游戏中的贵重物品,如皮肤、稀有物品或内部游戏货币,或滥用受害者的信用卡数据。

在搜索您的帐户时可以获得的泄露的数据库和信息不仅可以用于经济利益,还可以用于声誉损害和其他类型的社会损害。如果您是名人,您可能会被勒索并面临选择:泄露个人信息(这可能会影响您的声誉)或损失金钱。

即使您不是名人,也可能成为受害者——在网上泄露某人的身份信息的行为——例如他们的真实姓名、家庭住址、工作场所、电话、财务和其他个人信息。这类攻击的范围从相对无害的攻击,例如以您的名义注册到无数的邮件列表或伪造的外卖订单,到更危险的攻击,例如各种形式的网络欺诈、身份盗用,甚至是当面跟踪.

最后,如果您对个人帐户和工作帐户使用相同的密码,网络犯罪分子可以接管您的公司电子邮件并将其用于商业电子邮件泄露计划甚至会发起针对性的攻击。

如何保护您的帐户免受不必要的访问

首先 - 始终牢记密码使用原则:

不要为多个帐户重复使用相同的密码;

让你的密码又长又复杂;

安全地存放密码;

在第一次听到有关使用此密码保护的服务或网站发生数据泄露的消息时,立即更改密码。

主流的密码管理器软件可以帮助您完成所有这些任务并可以实时监控您所有密码的安全性。有些密码管理器甚至提供检查泄漏是否真的发生的服务。一般称为数据泄漏检查器,该功能可以让您检查您的电子邮件是否已在某处被盗的数据库中被发现。如果确实已泄露,您将收到一份泄漏站点列表、公开数据的类型(个人、银行、在线活动历史记录等),以及如何处理的建议。

这里有一些额外的建议:

1、尽可能启用双因素身份验证。它提供了额外的安全层,可以防止黑客访问您的帐户——即使有人设法获取了您的登录名和密码。

2、设置您的社交网络以获得更好的隐私。这将使查找有关您的信息变得更加困难,因此使用暴力字典来攻击您的帐户变得更加复杂。

3、停止过度分享个人信息,即使只有朋友可以看到。今天的朋友可能会成为明天的敌人。

本文翻译自:https://www.kaspersky.com/blog/how-criminals-can-get-your-password/46716/



Tags:密码   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
注意!密码、验证码都没说,钱是怎么被骗走的?
转自:科普中国“我密码和验证码都没有给他,为什么钱还是被骗子骗走了?”骗子是怎么做到的呢?真实案例今年1月,武汉市民张某在家接到一陌生电话,电话自称是某平台的客服,告诉张某购...【详细内容】
2024-04-11  Search: 密码  点击:(8)  评论:(0)  加入收藏
电脑怎么重新设置密码?
数字化时代,每个人的生活都与各种密码紧密相连。电脑密码作为保护个人隐私和数据安全的第一道防线,重要性不言而喻。忘记电脑密码是个普遍且棘手的问题。本文将详细介绍在不同...【详细内容】
2024-04-11  Search: 密码  点击:(6)  评论:(0)  加入收藏
数字社交的新典范:解析Facebook的成功密码
在当今数字化时代,社交媒体已经成为人们日常生活的重要组成部分,而Facebook作为最知名的社交媒体平台之一,其成功之处备受瞩目。本文将深入解析Facebook的成功密码,探讨其在数字...【详细内容】
2024-04-10  Search: 密码  点击:(8)  评论:(0)  加入收藏
手机就可以修改WiFi密码,进行网络提速,还能防止别人蹭网
随着网络的普及和使用频率的增加,很多人可能遇到了一些网络管理上的问题,比如忘记了WiFi密码、网络速度缓慢、或者发现有不明设备在家中蹭网。相信朋友们也曾遇到过吧?但是,你知...【详细内容】
2024-04-03  Search: 密码  点击:(7)  评论:(0)  加入收藏
未来5年微短剧或撬动千亿市场 短剧的下一个“财富密码”是它?
数据来源:中国网络视听发展报告(2024)“当下,网络视听是全球最大最火爆、最有前途,且充满活力的行业之一。而短剧尤其是微短剧以及延伸出来的网络新型直播,是目前中国和全球网络视...【详细内容】
2024-03-28  Search: 密码  点击:(18)  评论:(0)  加入收藏
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商——中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: 密码  点击:(23)  评论:(0)  加入收藏
微信转账时弹出“这一行字”,别急着输付款密码,已有不少人中招
在我们日常生活中,微信转账已经成为了一种非常便捷的支付方式。然而,就在我们使用这种支付方式时,有时会遇到一些看似平常却隐藏着风险的提示信息。今天,我就要提醒大家,如果在微...【详细内容】
2024-03-14  Search: 密码  点击:(16)  评论:(0)  加入收藏
手机设置指纹好还是密码好?
近日,我和一位朋友正在一家咖啡馆品茶聊天,话题自然而然地转到了手机的安全性。我拿起咖啡杯,微笑着问道:“你觉得手机指纹锁好,还是密码锁更安全呢?”这个问题引发了我们长达数小...【详细内容】
2024-03-11  Search: 密码  点击:(12)  评论:(0)  加入收藏
忘记Word文档密码?教你如何快速解密解决!
在网上找回word文档密码、去除word文档密码非常简单。具体步骤如下:1.百度搜索““六牛助手”官网”;2.点击“立即开始”并在用户中心上传需要解密的文件,稍等片刻即可找回密码...【详细内容】
2024-03-01  Search: 密码  点击:(30)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  Search: 密码  点击:(52)  评论:(0)  加入收藏
▌简易百科推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  兰花豆说网络安全    Tags:网络安全   点击:(6)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(22)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(17)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(32)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(52)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(111)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(56)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(70)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(88)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(88)  评论:(0)  加入收藏
站内最新
站内热门
站内头条