Как воруют пароли из браузера
Идея использовать пароль для входа в учетные записи впервые появилась у сотрудников Массачусетского технологического института. Через некоторое время эксперты научились использовать для хранения паролей хэширование — алгоритм, который хранит пару логин-пароль в зашифрованном виде.
При вводе пароля и логина хэш проверяется сперва логин. Если введённый логин существует, то система берёт пароль, возможно, уже захэшированный, и сравнивает его с тем, который есть во внутренней базе данных пользователей. Далее многие сайты используют для передачи трафика и информации не пару логин-пароль, а их хэши.
Удивительно, но факт — хакеры при взломе пользовательских баз получают не списки паролей, а список хэшей. Однако, для их расшифровки понадобятся годы из-за того, что для хэширования используется вычисления, которые сложно обратить вспять. Этот способ кражи логина и пароля неэффективен, даже если есть алгоритм хэширования.
Поэтому хакеры предпочитают другой метод взлома — через подбор паролей. По данным одного из исследований, 90% онлайн-аккаунтов используют один из 10 тысяч паролей. При этом многие пользователи, забыв пароль, не пытаются его вспомнить, а сразу приступают к процедуре восстановления пароля.
Если вы используете аккаунт в социальных сетях или сервисах для авторизации на сторонних сайтах, то для входа в систему используется другой метод: сайт, куда производится залогинивание, ищет по “кукам” любую информацию, чаще всего — “логин-пароль”.
Поэтому обращайте внимание на то, какие сайты сохраняют “куки”: это слишком важная информация, чтобы предоставлять её посторонним.
Проверьте настройки браузера
Также у паролей есть ещё одна уязвимость — при взломе сайта, связанного с другими веб-сервисами или приложениями, злоумышленники получают доступ к информации на сторонних сайтах. Но этот метод кражи логинов и паролей — через взлом более уязвимых ресурсов — применяется чуть чаще.
Зачем тратить силы для получения логина-пароля, если пользователи по собственной невнимательности сделают это для вас? Чаще всего кража логина и пароля производится с помощью фишинговых сайтов. Эти веб-страницы маскируются по известные ресурсы, обманывая пользователей, которые вводят свои настоящие логин-пароли. После этого сайт, созданный для кражи паролей, передаёт своим разработчикам полученную информацию и она уже используется на усмотрение злоумышленников.
Например, несколько лет назад существовало несколько ресурсов, выдающих себя за сайт социальной сети “Вконтакте”. Иногда эти ресурсы обещали расширенные функции: просмотр гостей, расширенные настройки и функции. Но все они преследовали одну цель — кражу пароля от “ВКонтакте”.
Обратите внимание на точность названия сайта и защищенность соединения
Несмотря на то, что фейк-сайты для кражи паролей являются самым распространённым способом фишинга, есть и другие угрозы для безопасности пользователя. Одним из популярных методов является рассылка по электронной почте писем от лица якобы банка или известной компании. Вы скорее всего видели эти письма, или их “родственников”, где тема письма начинается с обращения по имени от лица представителя крупной компании.
Раньше такие письма заражали компьютеры и осуществлять кражу логинов и паролей сразу после открытия. Сегодня, с развитием киберзащиты пользователей не только со стороны антивирусных компаний, но и со стороны IT-корпораций-поставщиков услуг, этот механизм уже не действует. Поэтому кибермошенники придумывают другие способы обмана.
Например, включают в письма ссылки для кражи пароля. Эта ссылка сопровождается текстом о том, что конфиденциальность под угрозой или о том, что пользователь выиграл большой приз. Перейдя по “линку” или скачав файл, пользователь уже подвергает угрозе свои личные данные — фишинг может начаться в любой момент.
Кроме этого, некоторые ссылки содержать программы для кражи паролей — кейлоггеры. Они умеют устанавливаться в обход панели уведомления и тайно функционировать на устройстве, собирая информацию о том, какие данные вводил пользователь с помощью клавиатуры.
Существуют и трояны для кражи паролей. К сожалению, с ними можно столкнуться в любой момент, просто неосторожно скачав подозрительный файл на устройство, которое не защищено антивирусом.
Поэтому, отвечая на вопрос “в какой момент хакеры могут украсть данные логина-пароля”, можно сказать, что в любой отрезок времени. Всё зависит от пользователя: насколько он осмотрителен и использует ли антивирусные решения.
Эксперты компании-разработчика антивирусных решений Bitdefender рекомендуют не пренебрегать установкой и обновлением программ-защитников.
А вы сталкивались с кражей паролей? Как это произошло?
эммм, как то слабовато написано, автору незачот
Поехали - основа безопасности:
Первое:
Пара логин-пароль наиболее уязвима в момент его ввода
Кей-логгеры, взгляд через плечо, стук клавиатуры (есть и такое, по звуку щелчка при нажатии кнопок) и куча всего, включая анализ записей скрытых камер/камер наблюдения
Второе:
Неудачная система хранения логина-пароля.
От записи на бумажку и затем выкидывания ее в мусорную корзину,
до хранения пары логин-пароль в открытом виде в не сильно охраняемом/защищенном месте на сервере. Сюда же - перехват куков, кража блокнота со всеми паролями у сисадмина и прочее
Третье:
Критерии сложности пароля - или защита от подбора
Чем сложнее и оригинальнее пароль, тем менее вероятно его подберут
Классика "СоРоК вОсЕмЬ ОбеЗьЯн . " - не подбираема
Это елси вкратце
Как защищаться?
1. Сложные пароли
2. Разные и неповторяющиеся пароли для всего
3. Меньше использовать авторизацию через соцсети (или кукисы сопрут)
4. Храните пароли так, чтобы никто их не нашел, ну или же не понял
Например, в одном из проектов лет *дцать назад стоял простой пароль.
Запоминался просто - по фразе "Очки Гарри Поттера"
Вводился вот так ,/O_o\.
Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.
Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.
Что такое Password Stealer и какие они бывают
Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.
Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.
Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.
Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen. В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat и %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.
Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%\Ubisoft Game Launcher\.
Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.
Как защититься от троянов, ворующих аккаунты в игровых сервисах
В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:
Миллионы паролей от различных популярных сервисов попали в руки хакеров. Срочно принимаем меры!
Любой ваш пароль, будь то доступ к почте, социальной сети или онлайн-банку, имеет свою цену для киберпреступника, его можно с пользой применить в мошеннических схемах. Поэтому кражи паролей, увы, крайне распространены в наше время. Иногда их крадут прямо с сервера одной из крупных компаний, а иногда — с компьютеров пользователей. Буквально на днях была обнаружена крупная база данных, содержащая около 2 миллионов разнообразных паролей, собранных ботнетом Pony. Сначала вредоносное приложение заражает компьютер, а затем собирает все доступные пароли из браузеров, почтовых и FTP-клиентов и через промежуточный сервер отправляет злоумышленникам. Среди сервисов, пароли от которых попали в руки злоумышленников, Facebook, Yahoo!, Gmail, Twitter, «Одноклассники», Linkedin, а также «ВКонтакте». Учитывая довольно большой масштаб инцидента, всем пользователям этих сервисов стоит задуматься, все ли в порядке с их паролями.
Участившиеся инциденты с кражей паролей делают эту практику особенно опасной, особенно если учесть, что пароли все чаще дают доступ к финансовым транзакциям — от классического онлайн-банкинга до пересылки денег вложением в электронной почте «Яндекса» или Google. Поэтому утечка относительно безобидного пароля к «Одноклассникам» может стать началом атаки по краже значительной суммы денег.
Выход один, хоть он и не очень прост — нужно обязательно сменить свои пароли, позаботившись, чтобы они были разными для разных веб-сервисов. Если запоминать их трудно, можно воспользоваться специализированной программой, менеджером для хранения паролей в зашифрованном виде. Но роскошь пользования одним паролем для всех сайтов явно осталась в ванильном прошлом Интернета. Чтобы избежать краж паролей в дальнейшем, следуйте советам Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского»:
Всем доброго времени суток. Закончились предновогодние авралы и зимние каникулы и пора уже что-нибудь написать в блог. Первую запись в этом году я хочу посвятить ликбезу по методам кражи паролей в противовес одной из предыдущих публикаций: Когда вас «взломали» не обязательно бежать менять все пароли . Сразу стоит уточнить, что материал направлен на неспециалистов по защите информации и носит ознакомительный характер. Хотя, возможно, специалисты тоже подчерпнут для себя что-то новое.
Как бы все не ненавидели пароли, это по сей день остается наиболее популярным средством идентификации, но, к сожалению, иногда у нас их крадут. Частично проблему помогает решить двухфакторная аутентификация, но лишь частично и лишь для наиболее критичных сервисов.
По статистике наиболее распространенными причинами потери контроля над аккаунтами становятся две вещи: использование простых (словарных) паролей и социальная инженерия. В этой статье я расскажу об основных методах взлома паролей естественно с целью повышения осведомленности в этом вопросе у широкой аудитории (использование материалов в деструктивных целях карается законом, автор ответственности не несет и прочее бла-бла-бла).
Да, все так просто. Ваш пароль могут тупо угадать. Помните все эти эпизоды в голливудских фильмах, когда герои взламывают чей-то компьютер и в качестве пароля пробуют имена детей, бабушек, дедушек, дядь, теть, клички домашних животных жертвы и т. д.? Так вот, это действительно один из действенных способов взлома и этот архаичный метод эффективен до сих пор. Ведь сейчас все публикуют тонны информации о себе в социальных сетях и если пароль основан на каких-то данных, связанных с личностью владельца взламываемого аккаунта, то подбор пароля — дело времени (это как раз является причиной того, почему пароли нужно периодически менять).
Противодействие методу: в общем, надеюсь, вы поняли, что «tanyushka1990» — это плохой пароль, даже если Танюшка это не вы, а ваша любимая внучка. Используйте не угадываемые интуитивно пароли. Периодически (не реже раза в год) меняйте пароли хотя бы к критичным аккаунтам.
Здесь только вскользь упомяну о таких очевидных вещах, как о паролях на стикерах, которые приклеены к монитору или на бумажках под клавиатурой. Под подглядыванием здесь можно понимать и подглядывание процесса набора пароля. То есть пароль лучше вводить, когда за процессом никто не наблюдает. Есть люди с интересными способностями. Например, один мой знакомый поспорил со мной, что посмотрит, как я ввожу пароль на ноутбуке, а потом повторит ввод этого пароля сам. И действительно повторил. Я очень удивился, так как владею слепым десятипальцевым набором и могу ввести свой пароль очень быстро. Оказалось, что у знакомого какая-то особенная фотографическая память. Опасный человек =)
То есть подглядывание помогает злоумышленнику быстро получить готовый пароль и не прибегать к другим более сложным или ресурсоемким техникам, о которых речь пойдет далее. Но подглядывание пароля «глазами» это не единственный способ. Например, если вы вводили свой пароль на чужом компьютере и случайно сохранили пароль, вышли из аккаунта, но не очистили данные, то кто-то другой может не только войти в аккаунт не зная пароля (это еще полбеды), но и выудить этот пароль в явном виде, вставив в адресную строку браузера на странице где введен логин и пароль (замаскирован звездочками) вот такой простой скрипт:
Если пароль используется на других аккаунтах, то злоумышленник может получить доступ и к ним тоже. Вот поэтому специалисты по безопасности категорически не рекомендуют использовать один и тот же пароль для разных аккаунтов.
Мы плавно перешли от интуитивных и мошеннических техник угона паролей к техническим. Первая из них это подбор паролей по словарям. Пожалуй, даже неспециалисты в области информационной безопасности слышали из новостей о крупных утечках паролей к почтовым ящикам на разных почтовых сервисах. Как потом выяснилось большинство из этих утечек было связано не со взломами серверов поставщика услуг, а с банальным подбором паролей к почтовым ящикам по словарям. Большинство паролей «взломанных» почтовых ящиков представляли из себя комбинации типа «123456», «qwerty» и тому подобные. В разделе «Материалы» я выложил парочку словарей с паролями (их можно пополнять самостоятельно), которые можно использовать как в различных инструментах типа John the Ripper или Hydra , либо для проверки банальным поиском есть ли в словаре ваш пароль. Если есть, то срочно меняем!
Противодействие методу: использование сложных, не словарных паролей.
Название метода происходит от двух английских слов: brute — грубая и force — сила. Из названия интуитивно понятно, чем этот метод отличается от предыдущего — здесь просто перебираются все возможные комбинации пароля. Метод затратен по времени и по ресурсам, ведь для подбора таким методом нужны немалые вычислительные ресурсы. Поэтому к такому методу злоумышленники прибегают только в крайних случаях. Уменьшить время подбора может позволить, например, знание точной длины пароля или знание того, что в пароле точно нет специальных символов и цифр. Таким образом, сокращается количество возможных комбинаций.
Противодействие методу: использование длинных хаотичных паролей и периодическая смена паролей.
Все кому в последние годы приходилось восстанавливать пароль к какому-либо сервису должны были заметить, что если раньше некоторые сервисы просто присылали вам ваш пароль на электронную почту, то теперь вам нужно сразу же придумать новый пароль. Это связано с тем, что ни один уважающий себя сервис не хранит пароли в открытом виде. Хранятся пароли в виде хешей. Если коротко, то хешем называется результат преобразования текста (в нашем случае — пароля) некой необратимой математической функцией. Результат преобразования распространенным алгоритмом MD5 слова «password» (без кавычек) выглядит следующим образом: 5f4dcc3b5aa765d61d8327deb882cf99. Примерно в таком виде и хранятся наши пароли у провайдеров услуг, и поскольку считается, что функции необратимые, то сами провайдеры вроде как не могут знать наш пароль и выслать нам его в открытом виде. Подробнее о хешировании можно почитать здесь .
Радужные таблицы, если очень грубо говорить позволяют восстановить пароль по хэшу. Полный процесс конечно гораздо сложнее, чем кажется. Поэтому, кому интересно ознакомиться с технологией подробнее, можно начать со страницы в википедии . Казалось бы, что с помощью радужных таблиц можно было бы взломать почти любой пароль, но и тут есть свои сложности для злоумышленника. Если при брутфорсе нужны временные и ресурсные затраты на сам перебор, то в случае радужных таблиц то же самое нужно для генерации этих самых таблиц. При этом любой набор радужных таблиц будет иметь множество ограничений, к ним относятся: ограничение на длину пароля, ограничение на набор символов, ограничение на конкретный алгоритм хэширования. В сети в общем доступе можно найти радужные таблицы для подбора паролей не длиннее 6 символов, которые содержат только буквы английского алфавита обоих регистров, но без спецсимволов и цифр. Но вот уже за что-то посерьезнее просят денег.
Противодействие методу: засолка хешей. К сожалению, данный вид противодействия доступен только на уровне администраторов сервисов и никак не зависит от действий конечного пользователя.
Под гибридными методами понимается сочетание различных методов, приведенных выше, в совокупности. На самом деле, пример использования методов «брутфорс» + «подглядывание» уже был приведен выше. Например, злоумышленник может подсмотреть не пароль целиком, а лишь символы, из которых состоит пароль. Это позволит ему в параметрах при брутфорсе указать только нужные символы, а все остальные исключить из перебора, тем самым существенно сократив количество возможных комбинаций.
Еще один пример гибридного метода: берется словарное слово и в нем делаются замены букв на спецсимволы. Например, берется словарный пароль «password» и пробуются комбинации «password123», «p@ssword», «pa$$w0rd» и т. д.
Противодействие гибридным методам заключается в использовании всех методик противодействия, приведенных выше.
Каждый день наши веб- браузеры помогают нам решать все больше и больше задач. Раньше, если мы хотели использовать определенную программу, нам надо было ее скачать и установить. Теперь же существует огромное количество веб-приложений, которые мы можем использовать для удовлетворения своих ежедневных потребностей. Вы можете найти веб-приложения для редактирования документов и подготовки презентаций (Google Drive), общения (Facebook, Twitter, Gmail и т.д.) или онлайн-покупок (Amazon), а также многого другого.
Но о чем большинство Интернет-пользователей не догадываются, так это о возрастающем числе рисков и угроз, связанных с этими веб-приложениями. А ведь это очень тревожно, поскольку Интернет – это то место, где начинается выполнение многих наших рабочих заданий. И в этом плане, возможно, самое слабое звено (и наиболее незаметное) – это используемый нами безобидный веб-браузер, который на самом деле может оказаться совсем уж не безобидным.
Расширение для браузера – это плагин или небольшой кусочек кода, который выполняется браузером для расширения своих функциональных возможностей в некотором роде. Такие расширения могут быть очень полезными (блокировка рекламы, восстановление потерянной почты, закрытие неиспользуемых окошек и т.д.), но существует также огромное количество вредоносных расширений, которых нам следует остерегаться, т.к. на самом деле они являются бэкдорами для кибер-преступников.
Вредоносные расширения могут получить доступ к истории Вашего браузера, причем могут даже изменять страницы, которые Вы посещаете, или сохранять пароли, которые Вы используете. Очевидно, что минусы этих расширений перевешивают их плюсы (шпионаж и продажа Ваших данных, кража Ваших паролей и т.д.), но все же хотелось бы иметь возможность для использования таких сервисов как расширения.
Вредоносные расширения могут получить доступ к истории Вашего браузера и даже изменять страницы, которые Вы посещаете, или сохранять пароли, которые Вы используете
Самый тревожный аспект подобных расширений заключается в том, что они сохраняют права, даже если авторы изменили операции. Обычно, авторы этих расширений – это независимые разработчики, кто работает в рамках хобби, или небольшие предприятия с ограниченными ресурсами. Если у них появится «рыбка» по-крупнее с пачкой денег, то можно предположить, что многие из этих авторов были бы готовы продать свои расширения, которые позже могут быть изменены новым владельцем без потери прав.
Это именно то, что произошло с рядом популярных расширений для Chrome , хотя такие проблемы с расширениями касаются не только браузера от Google. Недавно группа исследователей доказала , как некоторые среди наиболее известных расширений для Firefox были способны скрывать вредоносные программы.
В момент установки расширения мы должны предпринимать такие же меры предосторожности, которыми мы пользуемся при скачивании приложений для Android и iOS apps, или ПО для Windows и Mac. Самое важное, что необходимо сделать, - это быть уверенным в том, что источник надежен.
Официальные расширения, которые связаны с хорошо известными приложениями (такими как Pocket или Feedly), обычно более безопасные, чем расширения, предлагаемые неизвестным разработчиком, даже если они предлагают идентичные сервисы. Также рекомендуется обращать внимание на количество скачиваний и комментариев у расширения, хотя это не безошибочно.
Официальные расширения, которые связаны с хорошо известными приложениями, как правило, более безопасны
Кроме того, рекомендуется периодически проверять расширения, которые Вы уже установили (в Chrome Вы можете просмотреть расширения, написав в адресной строке браузера «chrome://extensions/»), для того, чтобы удалить те из них, которые Вы не используете или о которых Вы благополучно уже забыли.
Помните, любой может в конечном итоге оказаться в руках недобросовестных людей, кто воспользуется правами расширений для шпионажа за Вашим браузером, отображения рекламы или даже кражи Ваших паролей.
Читайте также: