在细节之前先做一个简短的总结:本周,联邦调查局与国际执法伙伴合作,取缔了一个臭名昭著的交易被盗身份数据的市场,他们将其命名为“Cookie Monster 行动”。他们向 Have I Been Pwned (HIBP) 提供了数百万个受影响的电子邮件地址和密码,以便事件的受害者可以发现他们是否已经暴露。此违规行为已被标记为“敏感”,这意味着它不可公开搜索,而是您必须证明您可以控制被搜索的电子邮件地址,然后才会显示结果。这可以通过HIBP 上的免费通知服务完成,需要您输入电子邮件地址,然后单击发送到您收件箱的链接。这篇关于黄金背景的博文末尾详细介绍了 FBI 与荷兰警方就您可以采取的进一步保护自己的措施制定的具体指南。这是简短的版本,这是整个故事:
听说过“数据是新石油”这句话吗?或者说“数据是数字经济的货币”?您可能已经看到有关您的个人信息对于合法组织和犯罪网络的价值的故事和信息图表。与任何有价值的商品一样,销售数据的市场不可避免地会出现,其中一些以合法企业的形式运营,而另一些则不是那么多。在最简单的形式中,非法数据市场长期以来一直涉及用货币交换包含电子邮件地址、密码、姓名等属性的个人记录。网络犯罪分子随后将这些数据用于从身份盗窃到网络钓鱼攻击再到凭据填充等各种目的。所以,我们(好人)适应并建立更好的防御。我们阻止已知的泄露密码。我们实施两因素身份验证。我们推出识别登录异常的用户行为分析(为什么乔突然用一台新机器从世界的另一端登录?)反过来,犯罪分子也会适应,这将我们带到了 Genesis 市场。
直到本周, Genesis 已经启动并运行了 4 年。这是来自 Catalin Cimpanu 的优秀入门书,它描述了如何为了规避上述欺诈保护措施,网络犯罪分子越来越依赖于从受害者那里获取更多抽象信息来访问他们的帐户。犯罪分子不再依赖凭证本身,然后接受上述所有现代欺诈检测服务,而是开始结合使用“指纹”和“cookie”进行交易。后者对大多数人来说是一个熟悉的术语(并且显然是 FBI 行动背后名称的灵感来源),而前者指的是用户及其浏览器的可观察属性。要查看有关指纹识别的简单演示,请访问amiunique.org并点击“查看我的浏览器指纹”按钮。你会得到类似这样的东西:
在超过160万的样本客户中,没有人和我有相同的指纹。不知何故,在当前版本的Windows上使用当前版本的Chrome,我是独一无二的雪花。为什么我如此独特,部分原因是我的时区只有不到 0.5% 的人共享,但只有当它与其他可观察到的指纹属性相结合时,你才会意识到我真的有多么特别。例如,只有不到 0.01% 的人拥有“en-US,en,en-AU”的内容语言请求标头。只有 0.12% 的人共享 5,120 像素的屏幕宽度(我使用的是超宽显示器)。等等等等。因为它们非常独特,指纹越来越多地用作欺诈检测方法,如果恶意方试图冒充具有其他正确属性(例如,正确的 cookie)但错误指纹的合法用户,他们将被拒绝。这就是我们现在拥有 IMPaaS 的原因。
荷兰埃因霍温科技大学通过一篇题为“模拟即服务:表征大规模用户模拟的新兴犯罪基础设施”的论文对 IMPaaS 进行了出色的解释。该论文在 Genesis 出现仅一年半后发布,并基于类似服务的发现,解释了 IMPaaS 的机制:
IMPaaS 允许攻击者系统地收集和强制执行用户配置文件(包括用户凭证、cookie、设备和行为指纹以及其他元数据),以规避基于风险的身份验证系统并有效绕过多因素身份验证机制
换句话说,如果您拥有网站在成功完成登录过程后(包括在任何 2FA 要求之后)保持身份验证状态所需的所有信息,您可以执行现代的会话劫持等价物。获取这一级别的信息通常是通过在受害者机器上运行的恶意软件来完成的,该软件然后可以获取任何有用的信息并将其发送到 C2 服务器,然后可以在该服务器上出售并用于进行欺诈(来自 IMPaaS 论文):
Catalin 在 Genesis 早期的故事展示了买家如何浏览受感染的受害者列表,并根据他们也经过身份验证的各种服务以及他们的操作系统和位置来选择他们的目标。定价不可避免地基于这些服务的价值,下面的例子每件售价 41.30 美元(就像合法的市场一样,这些都是打折的价格,所以很划算!)
为了让犯罪分子尽可能交钥匙,买家随后会运行 Genesis 的浏览器扩展,该扩展将根据恶意软件获得的信息重建所需的指纹,并授予他们访问受害者帐户的权限(我有Firesheep的闪回在这里)。就这么简单……直到本周。截至目前,以下横幅向浏览 Genesis 网站的任何人致意:
恰如其分地命名为“饼干怪兽行动”的是 FBI 与全球执法机构联盟的共同努力,他们现在已经突然终止了创世纪。我想他们会与那些参与运行该服务的人进行一些“讨论”,但作为受害者的个人呢?这些人的身份被出售,被其他罪犯收买,然后被滥用以致于损害他们的利益。 FBI 找到我,询问是否可以使用 HIBP 作为一种机制来帮助警告受害者,就像我们几年前对 Emotet 恶意软件所做的一样。这与 HIBP 的口头禅非常一致——在数据泄露发生后做好有建设性的事情——我很乐意提供支持。
有两个独立的东西现在已经加载到 HIBP 中,每个都与另一个分离:
- 现在可以通过Pwned Passwords搜索数百万个泄露的密码
- 在使用通知服务验证对地址的控制后,现在可以搜索数百万个电子邮件地址
Pwned Passwords API 目前每月点击次数超过 40亿次,可下载的数据集也被点击,嗯,我不知道,因为任何人都可以离线运行它。关键是加载到 HIBP 中的密码语料库具有巨大的影响力,并被数千种不同的在线服务使用,以帮助人们做出更好的密码选择。当您注册或登录各种服务时,您可能在不知情的情况下使用它,但如果您想直接检查它,您可以浏览到Web 界面。 (如果您担心密码的隐私,这里有 关于该服务如何保持匿名的完整解释,但我也建议您在更改密码后对其进行测试,这是一种普遍的良好做法。)
电子邮件地址搜索是 HIBP 众所周知的,如果您受到影响,这显然可以帮助您了解。根据开头段落,此漏洞被标记为“敏感”,因此您在直接从首页或通过 API 搜索时不会获得结果,而是需要使用免费通知服务。选择这种方法是为了避免人们因包含在 Genesis 中而成为进一步目标的风险。所有现有的 HIBP 订阅者都收到了通知电子邮件,在个人和那些监控域之间,现在已经发送了数万封电子邮件。虽然所表示的账户数量为“800 万”,但请注意,这只是一个近似值(因此是 HIBP 上的完美整数),旨在作为规模的指示性表示,因为许多被泄露的账户不包括电子邮件地址。该数字仅代表出现在数据集中的唯一电子邮件地址的数量,因此请将其视为更大语料库的一个子集。
让我添加一些最后的上下文,如果您确实发现自己在 Genesis 数据中,这一点很重要:由于恶意软件收集个人信息的方式的性质以及受害者当时可能使用的各种不同服务,暴露的数据因人而异。 FBI 提供的是一组密码(顺便说一下,作为 SHA-1 和 NTLM 哈希对输入执法摄取管道)、一组电子邮件地址和一组元数据。除了此处已列出的数据之外,元数据还包括姓名、实际地址、电话号码和完整的信用卡详细信息以及其他个人属性。这并不意味着所有受影响的个人都暴露了这些数据类别中的每一个。希望通过列出这些字段可以帮助受害者了解,例如,为什么他们可能会在他们的卡上观察到欺诈交易,然后他们可以采取知情和适当的步骤来更好地保护自己。
最后,正如简介中所标记的,以下是 FBI 和荷兰警方准备的指南,内容涉及人们在 Genesis 数据受到攻击时如何保护自己,或者坦率地说,只是想在未来更好地保护自己:
FBI 与 Have I Been Pwned (HIBP) 取得联系,继续分享帮助受害者确定他们是否受害的努力。在这种情况下,共享的数据来自 Initial Access Broker Marketplace Genesis Market。 FBI 已对 Genesis Market 采取行动,并在此过程中能够提取受害者信息以提醒受害者。
总之,提供了数以百万计的密码和电子邮件地址,这些密码和电子邮件地址跨越了广泛的国家和领域。这些电子邮件和密码在 Genesis Market 上出售,并被 Genesis Market 用户用来访问出售的各种账户和平台。
以下是与 FBI 一起准备的,为那些发现自己在这个数据集合中的人推荐的指南:
为了保护您自己免受将来的欺诈,请务必立即从您的计算机中删除恶意软件,然后更改您的所有密码。这样做如下:
- 注销计算机上所有网络浏览器中所有打开的会话。
- 删除所有 cookie 和临时互联网文件。
- 然后选择以下两个选项之一:
- 更新计算机上的病毒扫描程序。
- 然后在您的计算机上执行病毒扫描。
- 恶意软件将被删除。
- 然后(并且仅在那时)更改所有密码。不要更早执行此操作,否则网络罪犯将看到新密码。
或者
- 将受感染的计算机重置为出厂默认设置:
- 然后(并且仅在那时)更改所有密码。不要更早执行此操作,否则网络罪犯将看到新密码。
- 更新计算机上的病毒扫描程序。
如何防止我的数据(再次)被盗?
- 使用病毒扫描程序并保持更新。
- 使用每个帐户/网站唯一的强密码。
- 使用多因素身份验证。如果您在登录时使用指纹、面部识别或在其他设备(例如手机)上的批准来确认您的身份,那么其他人就很难访问您的帐户。
- 切勿下载或安装非法软件。这是一种非常常见的恶意软件感染源。
- 安装正版软件时,请务必检查网站是否为正版。
还有一件事要以轻松的方式结束:快速向局里的任何人大声喊叫,无论是谁把吃了一半的饼干塞进了取下图像中,我只能假设这是一个非常满意的联邦调查局特工在成功完成“曲奇怪兽行动”?
