Кто сливает ваши пароли

В июле месяце этого года я рассказывал о новом виде развода, процветающем в англоязычном Интернете. Это когда вам сообщают, что на ваш компьютер внедрен специальный троян, который подсмотрел, что вы ходите по порносайтам, заснял это все и теперь если вы не положите $500 ($5000) в биткоинах под ведро за гаражами по улице Светлого будущего дом 1, то это видео разошлют по всем абонентам вашей адресной книги. В доказательство того, что все это типа как реальность, присылался один из ваших настоящих (!) паролей, который вы когда-то где-то использовали.

Схема разводки совершенно примитивная, а пароль брался из распространенных в Даркнете баз с украденными адресами-паролями.

Так вот, разводка эта теперь активно действует в Рунете - мне сначала приходили письма на английском, а теперь аналогичные письма приходят на русском. Причем если поначалу присылали примитивные пароли, которые я использовал лет 18 назад на всяких "левых" сайтах и не особенно заботился о том, чтобы это никуда не уплыло, то в последнее время стало совсем интересно, потому что пароли слегка посвежели. Дело в том, что последние лет 13 для генерирования и хранения паролей я использую программу Roboform. Для нее нужно придумать и запомнить один-единственный устойчивый пароль, который я больше нигде не использую, а дальше все делает программа: если требуется где-то зарегистрироваться, то пароль создается специальным генератором, длину я ему делаю в 36 символов (мне наплевать, все равно запоминать не надо) с использованием спецсимволов, букв и цифр, а дальше он хранится в Roboform. При этом я давно уже не использую для регистраций свой обычный e-mail: у меня имеется специальный технический e-mail, который нигде вообще не светится и ни для какой переписки не используется - вот на него и заводятся регистрации. На этот адрес никакие разводные письма еще не приходили.

Но какое-то время (лет 10-13 назад) я для регистраций использовал exler@exler.ru. И вот на него эти письма активно приходят, четко демонстрируя, какой давности базы у разводил. (Многие люди десятилетиями используют одни и те же пароли, так что работать-то это все работает.) Так вот, когда мне стали приходить пароли явно из-под генератора, я стал пробивать их по базе, чтобы проверить, откуда, собственно, логин-пароль слили.

И вот как раз сегодня очередное письмецо приехало, пароль пробил - а он от домена LJ.ru. Насколько я помню, этот домен был выкуплен Мамутом под Livejournal - сейчас он на Livejournal.com и ведет. Интересненько. Буду продолжать наблюдать. Прикольная ведь история: пароли под каждый сайт - уникальные и они хранятся. Я всегда теперь могу проверить, какой сервис их слил (или у какого сервиса их украли).

02.11.2018 12:39
Комментарии 40

Мне приходило письмо счастья с моим старым паролем от LinkedIn
03.11.18 02:07
0 0

Спасибо за пост, Алекс! Я уже параноил что это меня ломанули, где-то 2 недели назад, ну что, хороший пинок под зад поменять пароли везде, давно пора было. Есть подозрения бол-шие на nnm и на LJ, мать их так! больше наверно на NNM, ну теперь спокойней, понятна логика (цифры и содержание похожее) Поржал над методом шантажа, поэтому достачно похуистически начал эксперементировать- мне выдали 2 старых пассворда и 1 очень похожий, но который не использовал (цифры поменяли только) Плюсы- поставил антивир (которого лет 7 вообще не пользовал без всяких проблем, - не нашел ничего стремного кроме куки)
02.11.18 23:18
0 0

А вот что нам на корпоративные e-mail'ы пришло, широким веером:
こんにちは!

私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。

もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。

私に連絡したり、私を見つけようとしないでください。それは不可能です。 私はあなたのアカウントからメールをあなたに送ったので、

あなたの電子メールを介して、私はあなたのオペレーションシステムに悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。

あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。

私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!

だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。

これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。

したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$854が良い価格だと思います!

あなたがこれを行う方法を知らない場合 - Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。私のウイルスはあなた自身のオペレーティングシステムからも削除されます。

私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後でメッセージを受け取ります。

私はあなたに支払いのための2日間を与える(正確に48時間)。
これが起こらない場合 - すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)

ばかなことしないで!
警察や友人はあなたを確実に助けません...

p.s. 私はあなたに将来のアドバイスを与えることができます。 安全でないサイトにはパスワードを入力しないでください。

私はあなたの慎重さを願っています。
お別れ。

ТО же самое, но на чистом японском языке )))
02.11.18 22:45
0 0

у меня имеется специальный технический e-mail, который нигде вообще не светится и ни для какой переписки не используется - вот на него и заводятся регистрации.

Это шаг в правильном направлении, но половинчатый. У меня для каждой регистрации свой, уникальный email.
02.11.18 21:11
1 1

Ко мне вообще пришло требования типа "I'm a hacker who cracked your email and device a few months ago. You entered a password on one of the sites you visited, and I intercepted it.", только пароля моего там никакого нет. И нагло требует 836 уе в биткоинах. Совсем обнаглели детишки.
02.11.18 19:25
0 0

С меня 822 доллара. Интересно по какому принципу назначаются суммы?
02.11.18 19:38
0 0

Генератор наверно. Причем spam mail relay где-то в Камбодже с открытым на весь интернет telnet (2018 год, Карл!) портом.
02.11.18 20:19
0 0

Позавчера пришло аналогичное послание на мой корпоративный ящик. Правда пароль был в письме указан первичный, который я поменял практически сразу. Поскольку почта рабочая, так сказать государственного значения, то отнес данное письмо в местный отдел ФСБ вместе с заявлением. Ждём-с продолжения
02.11.18 15:23
0 3

В письме было обещано разослать скрины сайтов и запись с веб-камера по всем адресам из адресной книги. Сижу. Жду. Прошли уже сутки с часа Ху
02.11.18 16:52
0 0

А почему меня должно волновать, что мои друзья будут знать, где я смотрю порнуху? Да бога ради. :)
02.11.18 20:54
0 0

Примерно так и я давно уже поступаю. Где-то валяются, наверное, еще старые, 20-летней, а то и больше, давности пароли на ресурсы, про которые я и забыл. Регистрировались они тогда на емейл, который я сейчас поддерживаю, но больше ни для чего, кроме получения спама и старых нотификаций не использую. Конечно, у меня сейчас есть несколько ящиков, которые так просто не светятся, и на которые и зарегистрированы важные акаунты. Некоторые пароли я помню просто потому, что мало ли что (хотя я их регулярно меняю). Но моя система позволяет сделать такой пароль и сравнительно длинным (15+ символов), и для меня лично запоминаемым, но, в то же время, даже узнав мою систему, мало кто способен понять ее суть, ибо мало кто поймет, на что там вообще идет завязка, а если еще учесть игры моего сознания, которое часто подменяет реальность на воображаемые, но очень устойчивые штуки, то - только паяльник, только паяльник!
02.11.18 14:57
0 0

Концепция «один пароль - один ресурс» мне близка. Но это, как уже описано, не панацея. Где грань, за которой паранойя?
02.11.18 14:48
0 1

Блин, коллеги будьте проще.
К сожалению, утечки учетной информации случаются периодически. Зайдите на haveibeenpwned.com введите свое мыло и посмотрите в каких утечках фигурирует Ваш адрес.
Я про себя нашел Adobe, утечку данных с формуа SD Project Red (про этих даже вспомнил что в свое время было письмо "срочно меняйте пароль, нас ломанули")б QIP и еще 4.
Не удивлюсь, что у кого-то в этом списке будет и LiveJournal.
02.11.18 14:40
0 0

А кто настолько "мудр", что пишет сам не зная на что он отвечает?
Трудно как-то вас заподозрить, что вы вникали в принцип работы haveibeenpwned.com, думаю вы вообще раньше о таком не знали.
Поздравляю господин ляпнувший.
02.11.18 21:34
0 0

Алекс, а на этом сайте как пароли хранятся?
02.11.18 14:02
0 1

Общий принцип давно один. Берём хеш от пароля и пишем его в базу. Даже если базу уведут, получат кучу безтолковых символов вместо пароля.

проблема в том, что есть куча заброшенных или слабообновляемых сайтов, которые когда-то были популярными...
02.11.18 14:33
0 0

Этого, к сожалению, мало.
Правильный принцип такой: берем пароль, индивидуально солим его, и скармливаем специальной криптографической хэш-функции. Хэш вместе с солью пишется в базу.
Почему именно так?
1. Нужна правильная функция. md5, sha1 созданы быть быстрыми, поэтому взламываются на современном оборудовании (GPU) очень бодро. Нужна медленная непараллелящаяся функция.
2. Соль, обязательно индивидуальная: если соли нет, или она у всех одинаковая, то можно построить "радужную таблицу". Это такая таблица, где на каждый пароль есть свой хэш. Понятно, что не на каждый, но на все словарные и слабые пароли вполне можно сгенерировать. Даже если функция у нас хорошая, медленная.
02.11.18 14:37
0 4

Почитайте про радужные таблицы. Для достаточно большого количества паролей уже посчитаны хеши, и можно не подбирать пароль перебором а найти пароль по хешу.
Поэтому хеши "солят"
02.11.18 14:43
0 3

И что?

только то, что там некому имплементировать накопленные за эти годы best practices. И в итоге, пароли хранятся так как было принято во времена царя Гороха...
02.11.18 15:05
0 0

бщий принцип давно один. Берём хеш от пароля и пишем его в базу. Даже если базу уведут, получат кучу безтолковых символов вместо пароля.


Если есть хеши, то перебором можно вычислить из чего их получили, ресурсоёмко, но при хорошем словаре и большом ботнете можно очень много реальных паролей наковырять.

Вот пароли из 36 символов - это реально только сливом самих паролей в открытом виде или через вирус на компе при вводе.
02.11.18 15:19
0 0

интересно, спасибо. а как узнать по сайту, как там поступают c паролями. сейчасcaмые лоховские магазины регистрации хтэотят. достали. я по этой причине на амазоне стал все покупать. даже если дороже. надолело всяким лохам формы заполнять.
02.11.18 17:13
0 0

говорят для каких то слов сложнее...
02.11.18 17:14
0 0

Общий принцип давно один. Берём хеш от пароля и пишем его в базу.

В Adobe тоже думали, что это хороший способ хранить пароли.
hbc
03.11.18 01:48
0 0

Проверил пароль и базу. У меня пароль слит с сайта "Из рук в руки".
Нуачо, передали из своих рук в руки застенчивых хакеров)
02.11.18 13:56
0 3

сам виноват, по названию мог бы догадаться)
02.11.18 17:16
0 0

lleo Каганов подтверждает: lleo.me
02.11.18 13:56
0 3

Слил не только Суп/LJ.
Судя по присылаемым мне спам-письмам, также и NNM-Club, и еще толпа всякой мелочи.
02.11.18 13:51
0 0

Слил не только Суп/LJ.Судя по присылаемым мне спам-письмам, также и NNM-Club, и еще толпа всякой мелочи.


Ну да, вплоть до некоторых техсаппортов.
Причём, как ни странно, к нам на русском писать стесняются, зато взамен вовсю стараются китайцы.

NNM не слил
99.99% продали :)
02.11.18 15:41
0 0

2 раза приходило. Подмывало ответить, что они пишут Senior DevOps ... Cybersecurity, но потом просто решил забить. Кстати, пароли похожие, но не те, что я использую
02.11.18 13:37
0 0

Блин. Хорошо у меня в свое время хватило ума какую-то херню написать в пароле от ЖЖ. Которую я тут же и забыл.
02.11.18 13:36
0 0

Да, приходили такие, причем там явные опечатки:
"i have been spying on you for some tome" (опечатка не моя) и главное что "все записано с моей вебкамеры", которой у моего домашнего компьютера нет. От слова "совсем".
02.11.18 13:34
0 0

Я всегда теперь могу проверить, какой сервис их слил (или у какого сервиса их украли).

А заодно, кто его хранит в оригинале, а не хэш.
02.11.18 13:26
0 6

Во-во.
02.11.18 13:26
0 1

или в хеше без соли.
02.11.18 13:32
0 1

А самый главный вопрос нахера они их хранят?
02.11.18 13:02
0 0

Тут варианты разные есть. Начиная от элементарного распиз...ва и заканчивая тем, что их потом можно передать в условный ФСБ. Потому что многие держат один и тот же пароль на все ресурсы
02.11.18 13:15
0 1

буквально на днях тоже самое Каганов писал... lleo.me
02.11.18 13:01
0 6

Ага, прочитал. Так все-таки СУП слил. Молодцы, чего тут скажешь...
02.11.18 13:26
0 2

спасибо спамерам, хоть пароль от жж напоминают, еще б логин напомнили, а то я и его забыл :-)
02.11.18 18:16
0 0
Теги
Сортировать по алфавиту или записям