Video: Dit VERDIEN je echt met ENQUÊTES | De waarheid over ONLINE ENQUÊTES (November 2024)
Eerder deze week bracht Trustwave hun studie uit op een enorm botnet, een van de vele beheerde het gebruik van de Pony botnet-controller. De onderzoekers kregen de controle over het botnet en namen de plaats in van de Command and Control-server. Eenmaal in controle ontdekten ze dat het botnet erin geslaagd was om ongeveer twee miljoen wachtwoorden van geïnfecteerde computers te stelen. Ze ontdekten ook iets dat de meesten van ons al weten: dat mensen vreselijk zijn in wachtwoorden.
Ga naar de wachtwoorden
De twee miljoen gecompromitteerde accounts waren verspreid over 1, 58 miljoen websitegegevens, 320.000 e-mailaanmeldingen, 41.000 FTP-accounts, 3.000 Remote Desktop-referenties en 3.000 Secure Shell-accountgegevens zijn een belangrijke stap. De zorg is natuurlijk hoeveel van de getroffen gebruikers hetzelfde wachtwoord hadden gekozen voor andere sites.
Onderzoekers vonden 318.121 Facebook-gegevens die goed waren voor maar liefst 57 procent van het totaal. Yahoo was de volgende met ongeveer 60.000 accounts, gevolgd door 21.708 Twitter-accounts, 8.490 LinkedIn-wachtwoorden en 7.978 accounts voor de payrollprovider ADP. Deze laatste is een beetje ongewoon, maar ook behoorlijk schadelijk omdat het aanvallers toegang geeft tot persoonlijke gegevens van slachtoffers.
Wat me het meest bang maakte, waren de 16.095 Google.com-gegevens en 54.437 Google-accountgegevens. Hiermee kunnen aanvallers toegang krijgen tot Gmail en van daaruit andere wachtwoorden opnieuw instellen met de functie "wachtwoord vergeten" op websites. Het kan aanvallers ook toegang geven tot privébestanden in Google Drive of betalingsinformatie in Google Wallet.
Dit alles betekent niet dat er een massale aanval op deze sites was. Het is waarschijnlijker dat criminelen erin geslaagd zijn om deze adressen op meerdere manieren te verzamelen, zoals phishing en keyloggers, en ze op deze servers hebben opgeslagen. Ze kunnen ze aan andere kopers verkopen of bewaren voor toekomstig gebruik.
Vreselijke wachtwoorden, opnieuw
Trustwave heeft de wachtwoorden in categorieën onderverdeeld: zes procent van hen was 'verschrikkelijk', terwijl 28 procent van hen 'slecht' was. Een gecombineerde 22 procent was "goed" of "uitstekend" en 44 procent was "gemiddeld". Een van de ergste waren: 123456, 123456789, 1234 en 'wachtwoord'.
De meeste wachtwoorden bevatten geen letters en cijfers. De meerderheid van de wachtwoorden waren ofwel alle letters (dezelfde hoofdletters) of alle cijfers, gevolgd door wachtwoorden die twee typen hadden (een combinatie van hoofdletters en kleine letters, of kleine letters met cijfers bijvoorbeeld), zei Trustwave.
Een goede bevinding was dat bijna de helft - 46 procent - van de wachtwoorden lange wachtwoorden had van 10 tekens of meer. Het merendeel van de wachtwoorden viel binnen het bereik van zes tot negen tekens, zei Trustwave.
High-profile doelen
Wat Lucas Zaichkowsky, een enterprise data-architect bij AccessData, betreft, is de grotere zorg dat de criminelen op zoek gaan naar accounts van mensen "bij hoogwaardige doelorganisaties". Als blijkt dat deze mensen dezelfde wachtwoorden gebruiken op deze sites als voor werkgerelateerde bronnen, kunnen aanvallers via VPN of e-mail via een webgebaseerde client inbreken in het bedrijfsnetwerk, merkte Zaichkowksy op.
"Ze kunnen de waardevolle accounts verkopen aan anderen op de zwarte markt die veel geld betalen voor geldige referenties die hen in winstgevende doelorganisaties brengen, " zei Zaichkowksy.
Mensen gebruiken hun zakelijke e-mailadressen voor persoonlijke activiteiten, zoals het aanmelden voor een account op Facebook. Cesar Cerrudo, CTO van IOActive, vond dat verschillende militairen, waaronder generaals en luitenant-generaals ('toekomstige generaals', 'noemde Cerrudo ze), hun.mil-e-mailadressen hadden gebruikt om accounts te maken op reissite Orbitz, GPS-bedrijf garmin.com, Facebook, Twitter en Skype, om er maar een paar te noemen. Dit maakt het vooruitzicht van hergebruik van wachtwoorden nog problematischer, omdat deze personen zeer waardevol zijn als doelen en toegang hebben tot veel gevoelige informatie.
Qualys Director of Engineering Mike Shema zei echter dat hij hoop ziet in de toekomst. "Met het oog op 2014 zal tweefactorauthenticatie in de hele onderneming en consumententechnologie aan kracht winnen, en veel apps zullen ook tweefactoren gaan gebruiken. We zullen ook de opkomst zien van slimme crypto-engineering voor multi-authenticatiewachtwoorden. " Tweefactorauthenticatie vereist een tweede authenticatiestap, zoals een speciale code die per sms wordt verzonden.
Veilig blijven
De algemene consensus is dat deze wachtwoorden werden geoogst van machines van gebruikers, en niet dat ze inloginformatie van sites stelen - wat een aangename verandering van tempo is. Keyloggers zijn waarschijnlijk verdacht en bijzonder gevaarlijk. Deze kwaadaardige toepassingen kunnen niet alleen toetsaanslagen vastleggen, maar ook schermafbeeldingen, de inhoud van uw klembord, de programma's die u start, de sites die u bezoekt en zelfs IM-gesprekken en e-mailthreads doornemen. Gelukkig moet je de meeste antivirussoftware hebben. We raden de winnaars van de Editors 'Choice award aan Webroot SecureAnywhere AntiVirus (2014) of Bitdefender Antivirus Plus (2014).
Merk op dat sommige AV-programma's "greyware" of "potentieel ongewenste programma's standaard niet blokkeren. Keyloggers vallen soms in deze categorie, dus zorg ervoor dat u deze functie inschakelt.
Phishing en andere tactieken om slachtoffers te misleiden om wachtwoordinformatie te verstrekken, zijn moeilijker te blokkeren. Gelukkig hebben we veel tips om phishing-aanvallen te herkennen en te vermijden
Het belangrijkste is dat mensen een wachtwoordbeheerder gebruiken. Deze applicaties maken en slaan unieke, complexe wachtwoorden op voor elke site of service die u gebruikt. Ze zullen je ook automatisch aanmelden, waardoor het voor keyloggers veel moeilijker wordt om je informatie te pakken. Probeer Dashlane 2.0 of LastPass 3.0, beide winnaars van onze Editors 'Choice award voor wachtwoordbeheer.
