150億のアカウントのユーザー名とパスワードが公開された

15 Billion Usernames and Passwords Exposed

ログイン認証情報が侵害される可能性があります。フィッシング詐欺の被害に遭う可能性があり、使用しているサービスプロバイダーはデータ侵害を受ける可能性があり、パスワードが十分に強力でなければ、サイバー犯罪者はそれらを推測する問題を抱えることはありません。しかし、ログインデータが悪用された後はどうなりますか?

Digital Shadowsの研究者たちは、それを知ることにしました。昨日、彼らは過去2年間に登録された10万件を超えるデータ侵害の間に漏洩した合計150億の認証情報を追跡するレポートを発行しました。

ログイン認証情報は常に販売されています

ユーザー名とパスワードを盗まれたら、サイバー犯罪者が最初に行うことはあなたのアカウントにログインすることだと思い込むのは簡単です。ただし、多くの場合、詐欺師は他の詐欺師に販売することにより、侵害されたデータを収益化しようとします。これからわかるように、これはかなり収益性の高いビジネスです。

あらゆる種類のアカウントとサービスのログイン資格情報は、ハッキングフォーラムや暗いウェブマーケットプレイスで売買されます。当然のことながら、150億のユーザー名とパスワードのペアの一部も販売用に提供されており、Digital Shadowsの研究者たちは、盗まれたデータの性質とそれがもたらす利益について詳しく知るために、リストを注意深く見守っていました。

販売用に提供されたクレデンシャルの約4分の1は、銀行や他の金融機関のアカウントのロックを解除します。これは、あたかも証拠が必要であるかのように、ほとんどのサイバー犯罪活動の主な動機が冷たい現金であることを証明します。

提供された資格情報の13%は、Netflixのようなストリーミングサービスでアカウントを保護します。サブスクリプションの支払いと比較すると、盗まれたパスワードを使用する方がはるかに安価であり、多くの場合、侵害されたアカウントの所有者は長期間にわたって賢くなりません。

ほぼ同じ割合のアドバタイズされたパスワードにより、購入者はプロキシサービスとVPNサービスにアクセスできます。これらは、サイバー攻撃の最中または後に犯罪者がトラックをカバーしたい場合に役立ちます。

ハッカーはまた、ソーシャルメディアプロファイルからファイル共有プラットフォームやアダルトWebサイトのアカウントに至るまで、何百万ものパスワードを販売しています。

パスワードの費用はいくらですか?

盗まれたクレデンシャルの価格は、ハードロックロジックに基づいています。たとえば、古いパスワードは、すぐに無効になる可能性が高く(まだ有効になっていない場合)、したがって、より安価になります。侵害された資格情報のセットの価格は、ロックを解除するアカウントの種類にも依存します。

規模の一端では、ハッカーがネットワーク管理者パスワードを3万ドルから14万ドルの間で販売しています。これらの価格は天文学的に見えますが、広告によると、販売された資格情報により、購入者はかなり大規模な組織の内部ネットワークへの簡単なアクセスを得ることができます。そのような攻撃の後にもたらされる可能性のある損害とその後の利益は、本当に莫大です。ただし、侵害されたアカウントの大部分は個人的なものであり、したがってはるかに安価です。

予想通り、オンラインバンキングのパスワードは高額になります。繰り返しますが、これはさまざまな要因に依存しますが、Digital Shadowsは、銀行または金融機関のログイン認証情報のセットは平均で約71ドルになると見積もっています。

意外なことに、ウイルス対策製品のサブスクリプションが侵害されて2番目になっています。平均して、アカウントあたり約21ドルで販売されています。これは、ハッカーがセキュリティの代金を支払う意思があることを示しています。

残りの認証情報は、1セットあたり10ドル未満でまとめて販売されるか、無料で共有されます。手頃な価格で、 認証情報の詰め込み攻撃を仕掛けようとするハッカーに最適です。

Digital Shadowsのレポートは、サイバーセキュリティの現状を非常に厳しく思い出させます。あなたのログイン資格情報は日常的に危険にさらされており、あなたのアイデンティティはピーナッツの地下市場で取引されています。物事がすぐに変わるところもないようです。どうやら、たった2年間で、流通しているユーザー名とパスワードの数は300%の増加を記録しており、私たちが毎日読んでいるデータ侵害とリークの絶え間ない流れは、傾向が弱体化しようとしていることを示唆していません。

July 9, 2020

返信を残す