對於我們大多數人來說，密碼只是無數在線服務最常用的身份驗證方法。但對於網絡犯罪分子而言，它的意義遠不止於此——進入他人生活的捷徑、至關重要的作案工具以及可以出售的商品。

知道密碼後，騙子不僅可以獲取您的帳戶、數據、金錢，甚至身份；他們還可以將您作為薄弱環節來攻擊您網絡上的朋友、親戚，甚至您工作或管理/擁有的公司。為防止這種情況，您首先需要了解外人如何竊取您的密碼。

您的密碼如何落入網絡罪犯之手？

有一種普遍的誤解認為，要將您的密碼提供給網絡騙子，您需要犯一個錯誤——從 網際網路下載並運行未經檢查的文件，打開來自未知發件人的文檔，或者在某些可疑網站上輸入您的憑據。誠然，所有這些行為模式都可以讓攻擊者的生活更輕鬆，但也有其他情況。以下是獲取帳戶訪問權限的最常見網絡犯罪方法。

網絡釣魚

這確實是主要依賴人為錯誤的憑證收集方法之一。每天都會出現數百個網絡釣魚站點，尤其是在數以千計指向這些釣魚網站的郵件的幫助下。但是，如果您出於某種原因認為您永遠不會被網絡釣魚的把戲所欺騙——那您就錯了。該方法幾乎與網際網路本身一樣古老，因此網絡犯罪分子有足夠的時間來開發大量的社會工程學技巧和偽裝策略。即使是專業人士，有時也無法一眼就辨別出釣魚郵件和真實郵件。

惡意軟體

竊取憑據的另一種常見方法是使用惡意軟體。根據我們的統計，很大一部分活躍的惡意軟體由木馬竊取程序組成，其主要目的是等待用戶登錄某個站點或服務，然後複製他們的密碼並將其發回給其作者。如果您不使用電腦安全防護解決方案，特洛伊木馬可能會在您的計算機上隱藏多年而不被發現，那麼您不會知道出了什麼問題，因為它們不會造成任何明顯的傷害，只是默默地執行它們的工作。

竊取密碼的特洛伊木馬並不是唯一尋找密碼的惡意軟體。有時，網絡犯罪分子會在網站上注入網絡瀏覽器並竊取用戶輸入的任何內容，包括憑據、姓名、銀行卡詳細信息等。

第三方泄密

成為一些不安全的網際網路服務的用戶或會泄露包含其客戶數據的公司的客戶也會泄露您的密碼。當然，認真對待網絡安全的公司根本不會存儲您的密碼，或者至少會以加密的形式存儲。但你永遠無法確定是否採取了足夠的安全保護措施。例如，今年SuperVPN泄露的信息包含 2100 萬用戶的個人詳細信息和登錄憑據。

此外，有些公司根本無法避免存儲您的明文密碼。是的，我說的是臭名昭著的 LastPass 密碼管理實用程序黑客攻擊。根據最新信息，一個未知的攻擊者使用一些客戶數據訪問了基於雲的存儲，包括客戶保險庫的備份。是的，這些保險庫已正確加密，LastPass 從未存儲甚至不知道解密密鑰。但是，如果 LastPass 的客戶使用已經從其他來源泄露的密碼登錄了他們的保險庫怎麼辦？如果他們重複使用不安全的密碼，那麼現在網絡犯罪分子將能夠一次訪問他們的所有帳戶。

初始訪問代理

在這裡，我們來到了另一個被盜密碼的來源——黑市。現代網絡犯罪分子更喜歡專注於某些領域。他們可能會竊取您的密碼，但不一定會使用它們：批發銷售密碼更有利可圖。購買此類密碼資料庫對網絡犯罪分子特別有吸引力，因為它為他們提供了一個多合一的功能：用戶傾向於在多個平台和帳戶中使用相同的密碼，通常將它們全部綁定到同一封電子郵件。因此，有了來自一個平台的密碼，網絡犯罪分子就可以訪問受害者的許多其他帳戶——從他們的遊戲帳戶到他們的個人電子郵件，甚至是成人網站上的私人帳戶。

黑客論壇的一則廣告：有人以4000美元的價格提供28萬個各種遊戲平台的用戶名和密碼

泄露的公司資料庫可能包含也可能不包含憑據，也在同一個黑市上出售。此類資料庫的價格因數據量和組織所在行業而異：一些密碼資料庫可能售價數百美元。

暗網上的某些服務會聚合泄露的密碼和資料庫，然後啟用付費訂閱或一次性訪問它們的集合。2022 年 10 月，臭名昭著的勒索軟體組織 LockBit入侵了一家醫療保健公司，並竊取了其包含醫療信息的用戶資料庫。他們不僅在暗網上出售對這些信息的訂閱——大概他們在同一個黑市上購買了初始訪問權。

一種暗網服務，提供對包含被盜數據的資料庫的付費訪問

暴力攻擊

在某些情況下，網絡罪犯甚至不需要竊取資料庫就可以找到您的密碼並侵入您的帳戶。他們可以使用暴力攻擊，換句話說，嘗試數千種典型的密碼變體，直到其中一種有效。是的，這聽起來不太可靠。但他們不需要遍歷所有可能的組合——有某些工具（Wordlist Generators）可以根據受害者的個人信息生成可能的常用密碼列表（所謂的暴力字典）。

這些程序看起來像是一份關於受害者的迷你問卷。他們詢問姓名、姓氏、出生日期、伴侶、孩子甚至寵物的個人信息。攻擊者甚至可以添加他們知道的關於目標的額外關鍵字，這些關鍵字可以被添加到組合中。使用這種相關詞、名稱、日期和其他數據的組合，密碼字典生成器創建了數千個密碼變體，攻擊者稍後在登錄時嘗試使用這些變體。

可以根據有關目標受害者的已知信息為暴力攻擊生成字典。

要使用這種方法，網絡犯罪分子首先需要進行研究——這時那些泄露的資料庫可能會派上用場。它們可能包含出生日期、地址或「秘密問題」的答案等信息。數據的另一個來源是社交網絡中的過度分享。一些看起來絕對微不足道的東西，比如一張 12 月 6 日的照片，上面寫著「今天是我心愛的小狗的生日」。

密碼泄露或暴力破解的可能後果

有一些明顯的後果：網絡犯罪分子可以接管您的帳戶並持有它以勒索贖金，用它來欺騙您的聯繫人和網友，或者，如果他們能夠獲得您的銀行網站或應用程式的密碼，則有可能清空您的帳戶。然而，有時他們的意圖並不那麼直接。

例如，隨著越來越多的遊戲引入遊戲內貨幣，越來越多的用戶將他們的支付方式與他們的帳戶相關聯。這使得遊戲玩家成為黑客的目標。通過獲得對遊戲帳戶的訪問權限，他們可以竊取遊戲中的貴重物品，如皮膚、稀有物品或內部遊戲貨幣，或濫用受害者的信用卡數據。

在搜索您的帳戶時可以獲得的泄露的資料庫和信息不僅可以用於經濟利益，還可以用於聲譽損害和其他類型的社會損害。如果您是名人，您可能會被勒索並面臨選擇：泄露個人信息（這可能會影響您的聲譽）或損失金錢。

即使您不是名人，也可能成為受害者——在網上泄露某人的身份信息的行為——例如他們的真實姓名、家庭住址、工作場所、電話、財務和其他個人信息。這類攻擊的範圍從相對無害的攻擊，例如以您的名義註冊到無數的郵件列表或偽造的外賣訂單，到更危險的攻擊，例如各種形式的網絡欺詐、身份盜用，甚至是當面跟蹤.

最後，如果您對個人帳戶和工作帳戶使用相同的密碼，網絡犯罪分子可以接管您的公司電子郵件並將其用於商業電子郵件泄露計劃甚至會發起針對性的攻擊。

如何保護您的帳戶免受不必要的訪問

首先 - 始終牢記密碼使用原則：

不要為多個帳戶重複使用相同的密碼；

讓你的密碼又長又複雜；

安全地存放密碼；

在第一次聽到有關使用此密碼保護的服務或網站發生數據泄露的消息時，立即更改密碼。

主流的密碼管理器軟體可以幫助您完成所有這些任務並可以實時監控您所有密碼的安全性。有些密碼管理器甚至提供檢查泄漏是否真的發生的服務。一般稱為數據泄漏檢查器，該功能可以讓您檢查您的電子郵件是否已在某處被盜的資料庫中被發現。如果確實已泄露，您將收到一份泄漏站點列表、公開數據的類型（個人、銀行、在線活動歷史記錄等），以及如何處理的建議。

這裡有一些額外的建議：

1、儘可能啟用雙因素身份驗證。它提供了額外的安全層，可以防止黑客訪問您的帳戶——即使有人設法獲取了您的登錄名和密碼。

2、設置您的社交網絡以獲得更好的隱私。這將使查找有關您的信息變得更加困難，因此使用暴力字典來攻擊您的帳戶變得更加複雜。

3、停止過度分享個人信息，即使只有朋友可以看到。今天的朋友可能會成為明天的敵人。

參考及來源：https://www.kaspersky.com/blog/how-criminals-can-get-your-password/46716/

文章來源：嘶吼專業版