超150亿个账户密码数据在多个黑客论坛上泄露

目前，至少有150亿张凭证在各种黑客论坛上泄露流通，为网络罪犯提供账户接管攻击和身份租赁服务的材料。

它们是由超过100，000次数据泄露造成的，其中超过50亿次是独特的。

根据数据泄露检测公司的一份报告，大部分数据来自消费者，但在暗网市场，发布解锁密钥企业的广告也很常见。

各行各业的受害者

非金融服务(有线电视、社交媒体、流媒体、虚拟专用网服务、文件共享、视频游戏和成人)的登录配对是最便宜的，其中许多将被网络犯罪分子泄露。平均售价为15.43美元。根据数据泄露检测公司“数字阴影”分析的广告，四分之一的广告提供与银行和其他金融服务相关的账户。它们的平均价格更高，每件70.91美元。

然而，网上银行账户的确认余额、个人身份信息的可用性和新鲜度可能会将价格推高至500美元。

在许多情况下，网络犯罪分子利用它们来洗钱，以掩盖他们的行踪，或者制定现金转移计划。

预计最昂贵的帐户是域管理员访问帐户。拍卖这些设备以获得最佳价格，因为它们在网络上提供最高级别的信任和控制。在这种情况下，平均价格是3139美元，但价格可能会上升到120，000美元。

在这些广告中，有几十个关于受害公司的报价和描述，包括“石化”、“网络安全”、“石油”、“大学”以及各州和政府。
账户接管工具

成功的帐户接管(ATO)攻击的优势是身份盗窃。他们通常提供获取个人信息的途径，货币化可以采取多种形式。

从直接销售数据并通过填制凭证获得其他帐户的访问权限，到租用帐户访问权限，使用这些数据创建合成身份，再到欺诈，网络犯罪分子有各种各样的赚钱方式。

他们遇到的唯一障碍是，如今凭据很少以纯文本形式出现，许多服务检查指纹数据以识别未经授权的登录尝试。

有几个市场可以在不触发警报的情况下出租账户。有些人有僵尸网络信息窃取恶意软件收集指纹数据(cookies，IP地址，时区)，一旦注入，使它看起来像合法所有者登录。

根据他们想租用的访问类型，网络罪犯可以用受害者的指纹数据登录一个账户，费用不到10美元。

根据数字阴影的报告，创世纪市场是最受欢迎的。然而，这并非没有竞争。地下市场(前称里士洛)和特尼特布里斯是同一个行业。破解密码和确定其他账户有效性的工具和服务也是成功披露账户的一部分。

数字阴影计算出45.99%的密码散列值使用MD5，这使得用今天的处理能力将它们恢复到原始形式变得容易。

暴力强行破解进入是一种流行的方法，许多人没有名字。其他人似乎已经获得了足够的声望，配得上九头蛇登录破解这样的标签。

利用来自数据泄露的凭证列表，威胁参与者可以轻松地部署凭证填充(凭证重用)攻击，从而提供从同一用户访问更多帐户和收集更多个人信息的机会。

网络犯罪论坛上广泛讨论的一个工具是OpenBullet，它是一个网站测试套件，可以在目标网络应用程序上运行请求。它的开源特性、定制选项、低CPU使用率以及包含的解析和爬行工具使它成为一个有吸引力的选择。

对于普通用户来说，防止ATO攻击是一项简单的任务。他们可以选择一个强而唯一的密码，并在支持它的服务上启用双因素身份验证(2FA)。这不能完全消除风险，但攻击者无法实现，因为回报不值得投入资源。

另一方面，公司有一个更困难的任务，因为它必须考虑许多方面。当威胁是有动机的参与者时，2FA可能还不够，所以应该实施多因素身份验证(MFA)。

光有这一项措施还远远不够，还可能存在一些故障点，如未修复的系统、存有敏感数据的存储库以及员工缺乏安全意识。