在日益数字化的世界中,网络安全变得比以往任何时候都更加重要。随着我们越来越多的个人和专业数据存储在网上,这些数据被黑客入侵的风险也随之增加。了解最新的黑客工具和技术对于防范这些工具和技术至关重要。接下来将深入研究 10 种最广泛使用的密码黑客工具,分析它们的工作原理及真实风险。
各行业就发生了几起备受瞩目的密码泄露事件:
2022 年 9 月,一名黑客通过一名员工泄露的密码访问了Uber 的内部系统。然后,他们访问了影响近 6000 万乘客和司机的敏感运营数据。
Facebook/Instagram— 2022 年 8 月,一个软件错误意外泄露了数百万内部以纯文本形式存储的用户密码。虽然这起事件背后没有黑客攻击,但它凸显了漏洞。
RockYou2021 –2022 年 1 月,黑客论坛上流传了 15 亿个因旧漏洞而泄露的密码。大多数密码已有多年历史,但仍包含常用密码。
密码黑客背后的动机
密码黑客攻击的驱动因素从犯罪利润到间谍活动再到黑客行动主义:
经济收益——账户被盗可能导致支付数据被盗、个人信息出售、欺诈性电汇等。近一半的违规行为是出于经济动机。
意识形态黑客行动主义——Anonymous 等激进组织利用密码黑客技术发表政治声明并揭露他们不同意的组织。
间谍活动——国家支持的组织以政府和军事密码为目标进行情报收集和破坏。
网络战——各国建立网络军队,在战争期间渗透和破坏敌方系统,使用密码黑客来获取访问权限。
报复——心怀不满的内部人士或有个人恩怨的人可能会攻击前雇主或合作伙伴。
江湖名声——吹牛的权利为一些“黑帽”黑客提供了动力。
密码泄露的影响:
数据盗窃— 主要目标是个人、财务、医疗、知识产权和其他敏感记录。这个数据可以在暗网上出售或直接用于身份欺诈或内幕交易。
系统破坏— 获得的凭据提供了可以访问的权限,用于破坏或破坏数据和系统,造成损坏和破坏。
合规违规——暴露医疗记录或财务信息等受监管数据的违规行为会导致代价高昂的合规违规行为。
诉讼和法律行动——由于疏忽而造成的违规行为常常面临大规模的集体诉讼和监管调查。
声誉受损——重大违规事件造成的公关损害和消费者信任的丧失可能会在数年后困扰组织。
密码攻击的类型
最直接的密码攻击是暴力破解技术,它会尝试每一种可能的密码组合,直到发现正确的密码组合。像 Hydra 和 Hashcat 这样的现代强力工具可以通过将工作分配到数百或数千个系统上,以令人难以置信的速度循环进行无休止的密码排列。
密码包含大写、小写和特殊字符有 218,340,105,584,896 种可能的组合。以每秒 100 万次猜测的速度,密码破解集群可以在 3 天内完成所有可能性。
一些主要的暴力攻击案例包括:
雅虎漏洞(2013-2014)——30 亿个账户因使用弱 MD5 算法散列的暴力破解密码而受到损害。
LinkedIn 泄露(2016 年)——通过大规模暴力破解,1.17 亿个密码被泄露的哈希值破解。
阿什利·麦迪逊 (Ashley Madison) 数据泄露(2015 年)——暴力破解散列密码导致该婚外情网站的 3900 万用户暴露。
为了防止暴力尝试,请使用超过 12 个的复杂随机密码及多因素(MFA),在网络层也可以尝试失败后进行速度限制和 IP 黑名单也有助于阻止这些攻击。
字典攻击不会尝试所有可能的密码,而是仅尝试预编译列表中的密码。这包括真实的字典单词、常用短语以及来自 RockYou2021 等过去泄露数据库的密码。这种集中的方法比纯粹的暴力攻击需要更少的猜测。流行的字典攻击工具包括 Cain & Abel 和 John the Ripper,它们加载了基于现实世界密码研究的复杂密码字典。规则集还可以修改和组合字典单词,以极大地扩展可能密码的密钥空间。
与字典攻击相关的主要事件包括:
iCloud 名人照片黑客 (2014)— 简单且通用的密码允许黑客访问名人 iCloud 帐户并窃取私人照片。
索尼影业数据泄露(2014 年)——攻击者可以将密码与字典进行匹配,以获取访问权限并泄露敏感数据,从而造成巨大损失。
LinkedIn 漏洞(2016)——虽然最初使用了暴力破解,但大多数密码最终都是通过字典。
为了防止字典攻击,避免常用单词、短语和模式作为密码
社会工程针对的是人为因素,而不是直接攻击保护密码的技术。这些技术通过心理技巧操纵用户自愿放弃凭据或其他敏感数据。
网络钓鱼——欺诈性电子邮件、网站、广告、聊天、电话等,冒充可信来源来诱骗用户输入密码或下载恶意软件。
诱饵——受恶意软件感染的 USB 驱动器被留在公共区域
借口——黑客发明场景并冒充 IT 支持等角色,以说服用户共享访问权限或重置密码。
尾随——在没有适当凭证的情况下跟随授权人员进入限制区域,以获取对系统和数据的物理访问权限。
社会工程引发的主要事件包括:
Twitter 黑客攻击(2020)——Twitter 员工的电话欺骗和社交工程导致了备受瞩目的帐户被接管。
Adobe 漏洞(2013 年)——发送给员工的网络钓鱼电子邮件使黑客能够获得网络访问权限并窃取 1.5 亿条用户记录。
RSA 漏洞(2011)——网络钓鱼成功以 RSA 员工为目标,窃取 SecureID 令牌中的数据,从而引发了进一步的高调黑客攻击。
持续的安全意识培训是组织预防社会工程的关键。启用 MFA 也至关重要,除了输入密码之外还需要执行另一个步骤。
另一种更有针对性的技术涉及使用受害者的个人信息来猜测他们的密码或安全问题的答案。生日、周年纪念日、宠物名字和其他数据点可以为密码猜测提供素材,尤其是当用户依靠此信息以确保凭证安全。
由密码猜测引发的主要事件包括:
Mat Honan Twitter 黑客攻击 (2012)— 出生日期和其他个人信息被用来重置 Honan 的 iCloud 密码并接管他的 Twitter 帐户。
莎拉·佩林 (Sarah Palin) 电子邮件黑客攻击 (2008)— 她的出生日期和邮政编码等公开信息提供了线索,使黑客能够猜测她的密码。
在密码、密保、身份验证等中使用任何个人信息都是不可取的,警惕在线或通过社交工程尝试过度分享个人详细信息。即使个人详细信息已知,使用密码管理器中存储的随机密码也可以提供保护。
捕获密码的最偷偷摸摸的方法之一是通过键盘记录,它记录在键盘上输入的击键。这使得黑客能够拦截实时输入的密码和其他信息。键盘记录器可以通过附加到网络钓鱼电子邮件的恶意软件或恶意网站上的偷渡式下载进行安装。硬件键盘记录器还可以物理插入键盘电缆或 USB 端口。一些高级恶意软件甚至可以记录虚拟键盘和屏幕键盘上的笔画。
键盘记录引发的主要事件包括:
FBI 黑客攻击 (2001)— 黑客 Joseph Konopka 植入的键盘记录器捕获了密码,从而可以访问非机密但敏感的系统。
惠普键盘记录丑闻(2006)——安装在高管计算机上的惠普间谍软件记录按键以监控内部通信。
Reddit 黑客攻击 (2018)— 攻击者利用键盘记录恶意软件获取管理员密码和违规帐户。
使用严格的端点保护软件和补丁管理可以限制键盘记录器的安装。Antikeylogger 等专门的临时键盘记录检测工具会主动监控高度敏感系统的可疑记录活动。
通过这种方法,过去泄露的大量用户名和密码会以自动方式登录页面以渗透帐户。以RockYou 和 LinkedIn 等漏洞泄漏的数十亿凭证可通杀大部分有效的账户,Snipr 和 BlackBullet 等工具可自动执行跨多个站点的快速撞库攻击。
与撞库相关的主要事件包括:
Canva— 2022 年 5 月,1.39 亿用户帐户因历史违规事件中重复使用的凭据而遭到泄露。
米高梅度假村- 2020 年 2 月,重复使用的密码泄露了超过 1000 万酒店客人的个人数据。
Aadhaar——2017 年,印度国家身份数据库因大规模撞库攻击而遭到破坏。
对每个站点使用唯一的密码可以限制凭证填充可能造成的损害。MFA 通过要求验证而不仅仅是正确的密码来提供另一层保护。另外可以通过开启对应的密码策略实现更高级别的防护。
黑客工具还利用 Web 应用程序和 API 中的漏洞来提取密码或执行未经授权的操作。例如:
SQL 注入— 将恶意 SQL 查询插入登录表单等输入字段,以欺骗数据库转储密码哈希值和其他数据。
跨站脚本 (XSS)— 将 JavaScript 有效负载注入易受攻击的网站以绕过访问控制并窃取凭据。
API 漏洞利用——在应用程序编程接口中查找漏洞会导致不当的密码重置和帐户接管。
对网络和移动应用程序进行持续扫描、修补和强化是限制导致这些应用程序级攻击的漏洞的关键。Web 应用程序防火墙 (WAF) 还提供针对 SQLi 和 XSS 等常见漏洞的防护。
英国航空公司数据泄露(2018 年)——攻击者利用跨站点脚本漏洞提取超过 380,000 条客户记录中的支付数据。
Facebook 开发者 API 丑闻(2018 年)——监管不严,导致数千名开发者通过 Facebook API 不当访问用户帐户数据。