惊天爆料！100 亿密码现身流行黑客论坛，网络安全亟待拯救

前言：

震惊！在网络安全领域，近期所发生的事件无疑如重锤般给全球用户敲响了警钟。有个叫做“ObamaCare”的用户于黑客论坛发布了一份前所未有的密码汇编文件——rockyou2024.txt，其中竟涵盖了令人瞠目结舌的 9,948,575,739 个独一无二的明文密码。此事件不单引发了网络安全专家的高度瞩目，更令无数用户陷入了深深的担忧与不安之中。

“ObamaCare”这一名称的现身，致使这起事件愈发引人关注。在此之前，该用户就曾有过泄露数据的不良记录，涵盖了西蒙斯和西蒙斯律师事务所的员工数据库、伯灵顿郡罗文学院的学生申请表等。据 Cybernews 方面的确认，rockyou2024.txt 里的密码源于新老数据的泄露事件，之前的“RockYou2021”汇编包含 84 亿个密码。虽说此次泄露的密码数量相比前一次有所降低，然而净减少的 15 亿组凭证依旧是个令人咋舌的数目。这些密码的泄露，毫无疑问为黑客提供了充裕的攻击资源，让网络安全局势更为严峻。

对于普通大众来说，这起事件或许表明他们的个人信息或许已经遭到泄露。在 rockyou2024.txt 当中，极有可能囊括了众多用户的常用密码。

通过窃取的密码获利的8种方式

把被盗的个人数据制作成一个大型专有数据库

和其他犯罪分子一样，黑客首先对盗来的东西进行盘点整理。首先，他们会将被盗的数据文件先检查一遍，看看有没有什么有价值的东西，比如受害者的身份验证凭证，个人信息（如姓名，地址和电话号码）以及财务信息（如信用卡详细信息）。这些信息大部分可以被多次利用，如果不愿意，直接卖掉也是一大笔收入。

销售个人信息

创建数据库后，黑客将打包并出售个人信息，例如姓名、地址、电话号码和电子邮件地址。他们通常会将个人信息分批进行销售，主要是为了最大化利润。出售的信息越新，它们在黑市上越有价值。

精准的目标数据是最值钱的

一旦确定了基本的个人信息，黑客就会根据它梳理出相关的认证凭证列表并寻找潜在的有利可图的账户。其中，有关政府和军事的数据非常有价值，另外大公司的公司电子邮件地址和密码也非常受黑客欢迎。另外由于许多人经常在不同的账号中重复使用他们的密码，这使得黑客可以利用他们在军事或公司账户上的凭证来攻击其他公司或最初受害者拥有的其他账户。以一个著名的案例为证，2016年Dropbox就曾要求自2012年年中以来未曾改过密码的用户重置密码后才能登陆。因为2012年LinkedIn持续遭受大规模黑客攻击，总共有1.17亿用户的个人信息被发布到网上。其中不少用户资料和密码被泄露，尽管这些帐户的数据都很旧，但许多用户还用它来登陆Dropbox。

出售信用卡信息

诸如信用卡号码之类的财务信息通常由黑客打包并以捆绑销售，一个在黑市拥有正确联系人的犯罪分子可以轻松地以10个或100个小组购买信用卡信息。根据研究，通常购买这些信用卡信息的买家，会通过一系列的虚假交易来隐藏购买痕迹，以避免被发现。首先，购买人会委托中间人使用买来的信用卡到亚马逊或其他网站购买礼品卡，然后再通过另外的中间人使用这些礼品卡购买实物商品。最后，实际的买家就可以通过eBay等合法渠道或通过黑市出售电子产品。根据McAfee的说法，含有CVV2代码的信用卡的黑市售价大概在5美元到8美元之间，但如果该信用卡还含有相关的用户身份证号码，则黑市售价大概在15美元。如果被盗信息包含受害者的完整信息，则可能会高达30美元。

价值不大的数据会被批量销售

如果这些被盗的数据在几个月后还未销售出去，黑客会将这些信息在暗站上降价批量销售。到目前为止，大多数被盗的凭证在几个月后都是毫无价值的，因为受害公司最有可能发现了违规行为并采取措施予以解决。例如，虽然2012年LinkedIn泄露的某些凭证仍然可用，但可用的概率已经非常低了。

通过虚假的纳税申报单来获利

犯罪分子在窃取受害者的准确身份后，会提交虚假的纳税申报单，试图以受害者的名义从州政府和国税局获得退税。在大多数情况下，犯罪分子会零零碎碎地收集数据，比如分别窃取受害者的姓名、地址、社会安全号码和其他财务信息。如果一旦他们掌握了足够的数据，就会提交虚假的纳税申报单。尽管美国国税局报告去年的欺诈损失总额下降了14%，但诈骗者去年仍然盗窃了7.83亿美元。

通过制造虚假的医疗事故，向保险公司进行欺诈索赔

这已成为一个日益严重的问题，尤其是在联邦医疗保险(Medicare)的问题上，联邦政府估计，每年大约有10%的经费是由于欺诈和浪费而造成的。Trustwave公司今年报告说，在黑市上，一个人的医疗记录可以高达250美元。由于这方面的获利空间非常大，所以在有黑客已通过建立虚假的医疗信息，赚了数百万美元。由于人们对医疗账单上的小额费用往往都不在意，所以积少成多，犯罪分子在每个人的人上骗一点，最后就形成了很大一笔收入。

出售商业机密或趁机对公司进行勒索

要知道，有些公司每年在研发上花费的费用是非常庞大的。如果黑客盗窃了这些研发成果，那对公司将是致命性的打击。比如，几年前，有黑客窃取了5万多索尼员工的电子邮件、社会安全号码和薪水数据。不过这还不是最糟糕的，2014年为了让索尼影业取消《刺杀金正恩》的放映，有黑客发动了大规模网络攻击，导致该公司的影片信息被删、员工数据及企业机密曝光。在此次袭击事件发生数月后，其影响依然在持续发酵，电脑故障频发，电邮持续被冻结等。此外，该公司联席董事长艾米·帕斯卡(Amy Pascal)也已引咎辞职。

密码攻击方法

暴力攻击

暴力攻击又称“穷举攻击”，指黑客使用大量常见或泄露密码进行大量访问尝试的密码攻击。该方法的特点就是简单粗暴，如使用常见的具有不错CPU性能的计算机，每秒可“猜测”数十亿个密码。

字典攻击

字典攻击是暴力攻击的一种，在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。

密码喷洒

密码喷洒使用一个或数个通用密码“碰撞”许多不同的帐户，这种方法可以避免（多次密码尝试后的）帐户锁定阈值，许多组织将账户密码的错误尝试次数限制在3到5次。密码喷洒攻击者通常会选择用户常用的密码或使用已在网上泄露的密码。

凭证填充

凭证填充是一种自动黑客攻击，也就是我们俗称的“撞库”。它是利用从一项服务数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。凭借高达2%的成功率，凭证填充自动程序占全球许多大型网站所有登录流量的90%以上，并且产生大量二手数据泄露。

网络钓鱼

网络钓鱼是一种古老的攻击，已经有几十年历史，但至今仍然非常有效，非常主流。网络钓鱼攻击通过欺诈手段操纵人们执行操作或泄露机密信息，通常通过电子邮件进行实施。例如，攻击者伪装成合法组织或服务，以诱使用户泄露帐户信息。

密码重置

密码重置攻击是一种经典的社会工程攻击技术，攻击者假冒受害者致电服务台请求重置密码。黑客只需要说服系统向他们提供新密码，而不是试图猜测或破解它。

到底怎样才能提高密码的安全性呢?

不妨从常见的黑客攻击手段出发，做好防范，确保个人信息及财产安全。

  防口令爆破

因为用户名加口令（也就是常说的密码）仍然是目前各大系统最常用的身份验证方式，所以口令爆破就成为了最常用的黑客攻击手段。其原理很简单：通过使用自动化工具或脚本不断重试来猜测口令。

针对系统用户而言，应对口令爆破攻击需要在设置口令时设置足够长的位数，同时包括大小写字母、数字和特殊符号来增加口令的复杂度来增加黑客破解的难度。

针对系统管理者，除需增加口令的复杂度外还需要设置防止自动化登录的机制，如验证码、多次输入错误口令后用户受限等。

防社会工程

在信息安全这个链条中，人的因素是最薄弱的一个环节。社会工程就是利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。某系统可能采取了很周全的技术安全控制措施，例如：网络回溯系统、防火墙、入侵检测等，但由于员工无意当中通过电话或电子邮件泄露机密信息(如系统口令、IP地址)，或被非法人员欺骗而泄露了系统的相关信息，就可能对系统安全造成严重损害。

所以更高级一些的黑客会利用手中的“社工库”信息破解口令。由于各类网站泄露事件和非法出卖个人信息的行为,互联网上存在许多“社工库”,存储着海量的个人信息,包括姓名、电话号码、身份证号码等。黑客会先利用这些社工库里的信息生成“社工密码字典”,然后用软件尝试用字典里的各种信息及组合来破解口令。

针对系统用户而言，应对社会工程攻击应尽量避免使用自己的个人信息当做口令的一部分，同时应注意个人信息的保护，避免在网络中进行不必要的泄露。

针对系统管理者，除避免使用自己的个人信息当做口令的一部分外还应定期更换设备口令，提高日常安全意识等。

  防撞库攻击

在日常生活中，很多人为了方便记忆，注册各个网站的用户名和口令都是相同的，但各个网站的安全防护能力有所差异，甚至有些小型网站还会非法出售用户的账号信息进行牟利，此时当黑客获取了数据库信息后，就可以去各个大型网站进行尝试进行撞库登录。

针对系统用户而言，应对撞库攻击应为不同网站的账户设置唯一的口令。

针对系统管理者，各个设备应设置不同的口令，避免黑客攻破一台设备后导致系统沦陷。

另外不得不提的是，无论口令设置的如何复杂，都存在被破解的可能，最有效能够提高账户安全性的方式是使用双因素鉴别，即除了用户名/口令这种最常见的鉴别措施之外增加一种与个人身份绑定的鉴别措施，例如手机验证码、动态令牌、Ukey、人脸识别等，这样即使用户名和口令被黑客窃取，其也无法登录账户。