Пять лет назад Avast опубликовал сообщение в блоге, в котором проанализировал базу данных из 2000 паролей, используемых хакерами. Выяснилось, что хакеры, как и большинство людей, используют очень простые пароли. Фактически, их самый распространенный пароль был взломан!
В этом сообщении блога мы продолжаем нашу предыдущую публикацию о 46 млн взломанных паролей. Однако на этот раз мы анализируем пароли, которые используют 57 000 мошенников онлайн. Мы обнаруживаем, что мошенники все лучше умеют подбирать пароли. Мы также объясняем, как взлом паролей мошенников дает подсказки о личности мошенников и их методах.
Анализ паролей обычных людей
За последние 10 лет в 14 исследованиях были проанализированы утечки баз данных паролей. В таблице ниже показана эволюция ТОП-10 самых распространенных паролей, обнаруженных при этих утечках.
Из таблицы видно, что наиболее распространенные пароли со временем меняются. Они появляются в среднем в 3 из ТОП-10 списков. Большинство из них состоит из чисел (например, 123456), простых слов (например, пароль) или слов, связанных с источником (например, myspace1 для утечки MySpace).
Анализ утечки паролей Sony Троем Хантом
Пароли обычно довольно короткие. Большинство паролей имеют длину от 6 до 10 символов, как показано выше в анализе Троя Ханта. Другие анализы показывают, что пароли состоят из 225 символов, но это менее 0,01% всех паролей.
LastPass анализирует пароли Gmail
Большинство паролей не только короткие, но и состоят только из цифр, только строчных букв или их комбинации. Около 1% паролей следуют лучшей практике также смешивания символов. Сочетание длины и состава пароля объясняет, почему исследователи безопасности (или хакеры) обычно могут расшифровать более 80% утечек зашифрованных паролей.
А как насчет мошенников?
В мае 2019 года произошла утечка базы данных форума OGusers в сети (утечка произошла снова на этой неделе). Форум обсуждает, как лучше всего обманывать крупные корпорации, и насчитывает более 110 000 участников. Обсуждалась одна классическая афера: как манипулировать компанией, чтобы вернуть деньги, даже если товар не был возвращен.
Используя экземпляры Google Cloud и Hashcat, нам удалось собрать 57 046 паролей. Наши методы включают несколько общедоступных и частных словарей и статистический анализ взломанных паролей. Wired объяснил в нтервью некоторые методы, которые мы использовали.
ТОП-10 самых распространенных паролей.
По общему признанию, хакеры использовали очень слабые пароли, такие как qwerty и 123. Однако 7 из 10 паролей из их ТОП-10 самых распространенных не были найдены в других списках ТОП-10. Это говорит о том, что мошенники могут выбирать пароли иначе, чем обычные люди. Их наиболее распространенные пароли немного сложнее, поскольку они содержат заглавные буквы.
Эти 10 общих паролей вместе составляют 3% паролей, которые мы взломали. Хотя наиболее распространенные пароли ненадежны, они составляют лишь небольшую часть всех используемых паролей. Люди по-прежнему используют пароль в качестве пароля; Однако все меньше и меньше людей выбирают его.
Большинство паролей мошенников (в среднем 66% символов пароля) состоят из строчных букв. Они также содержат много цифр, но очень мало символов в верхнем регистре. Пароли в среднем не содержат специальных символов.
Количество символов в паролях мошенников
Пароли мошенников обычно состоят из 6-10 символов. Самый длинный взломанный пароль состоял из 26 символов (abcdefghijklmnopqrstuvwxyz, qwertyuiopasdfghjklzxcvbnm, gggggggggggggggggggggggggg и stoplookingatmypassword123). Эти пароли следовали легко угадываемым комбинациям клавиатуры или группам словарных слов, за которыми следовали числа.
Зачем взламывать пароли мошенников
Взлом паролей - это весело, но, что более важно, он может помочь нам лучше понять злоумышленников по двум причинам.
Подсказки о личности мошенников
Многие мошенники используют личную информацию (например, местонахождение, имя питомца, работодателя) в качестве пароля. Взламывая пароли, мы находим эти фрагменты информации, которые направляют исследователей или, по крайней мере, помогают строить гипотезы.
Мы подозревали, что некоторые участники OGusers были канадцами. Мы обнаружили, что некоторые использовали пароли, например Canada или Montreal . Теперь возможно, что британские мошенники случайным образом выберут Монреаль в качестве пароля. Но каковы шансы по сравнению с тем, что житель Монреаля выбрал Монреаль в качестве пароля?
Улучшение нашего понимания методов мошенничества
Многие актеры создают несколько идентичностей в Интернете. Они делают это, чтобы обманывать других мошенников, поддельные ссылки и похвалы или даже оправиться от бана. Установление личности - важный этап разведывательных операций. Это сокращает количество субъектов, которых нужно отслеживать, и расширяет наши знания о том, что они говорят и делают.
Мы применили алгоритм Dropbox ZXCVBN для определения сложных паролей, повторно используемых в разных учетных записях. Эти пароли настолько сложны, что два человека никогда бы не выбрали их случайным образом; владелец счета должен быть одинаковым.
Пароли с уровнем 4 (наивысший балл, вряд ли будут выбраны случайным образом двумя людьми; например, ZXCasdQWE123) связаны в среднем с 1,3 учетными записями ; пароли связаны в одном случае со 128 разными учетными записями. Около 10% паролей уровня 4 связаны с более чем одной учетной записью. Это свидетельствует о том, что многие злоумышленники контролируют более одной учетной записи на онлайн-платформах. Конечно, эта цифра занижена. Злоумышленники могут контролировать несколько учетных записей с помощью очень простых паролей. Слово пароль, например, используется 133 учетными записями. Базовый показатель в 10% по-прежнему полезен для моделирования внутреннего мошенничества и обмана на форуме.
Будущие исследования
Какие виды мошенничества и обмана имеют место, будет в центре внимания будущих блогов. Однако мы ожидаем обнаружить, что злоумышленники воруют и злоупотребляют друг другом, давая ложные обещания и используя разные учетные записи для подтверждения своих обещаний.
Наше решение Firework предоставляет вам список всех собранных нами паролей мошенников. Сегодня вы можете сопоставить эти пароли со своими сотрудниками и клиентами. Когда обнаруживается совпадение пароля уровня 4, это вполне может указывать на то, что злоумышленник повторно использует свой пароль на вашей платформе. За этим действующим лицом следует очень внимательно следить, поскольку они могут злоупотреблять нашими клиентами или их покупателями.
