前 FBI 数字犯罪专家、现任 SpyCloud 实验室副总裁 Trevor Hilligoss 警告说,所有 cookie 都容易受到攻击,但它们是危害 Google 或其他帐户的唯一手段。最近发现的 OAuth 漏洞证明了这一点。
我们又回到了在线安全的起点。无论密码的长度或身份验证过程中因素的数量如何,如果恶意软件感染您的设备并发现一些会话令牌或 cookie,网络骗子都可能会危及您的帐户。
Cybernews 已经报道称,授权协议 OAuth2 的新漏洞允许攻击者劫持 Google 帐户,造成深远的后果,并在密码重置的情况下保持持久性。
Cookie 盗窃并不是绕过身份验证的新策略 - 有效的 Cookie 可以导入犯罪分子的系统,从而欺骗受害者的设备。然而,这种方法正在兴起,因为许多用户现在使用多重身份验证,这使得使用被盗密码访问帐户变得更加困难,Hilligoss 在接受 Cybernews 采访时解释道。
“它比谷歌要大得多。长期以来,Cookie 盗窃现象非常普遍,人们非常担心自己的用户名和密码。我觉得很少有人真正了解 cookie 盗窃的严重性以及预防的难度。”Hilligoss 说道。
Hilligoss 确信,Google 帐户是对犯罪分子最具吸引力的帐户之一,因为它们包含大量重要的个人、税务和其他信息,还可以用于重置其他服务的密码。
“如果我进入你的 Gmail 帐户,我敢打赌我可以使用你的 Google 帐户重置你的 Facebook 密码。我在半夜这样做。直到早上你才会意识到这一点。现在我已经控制了你的 Facebook,”Hilligoss 向 Cybernews 解释道。“犯罪分子每天都这样做。”
骗子每月只需花费 250 美元即可使用 Lumma 等功能强大的信息窃取工具,而无需任何技术知识。
为什么 cookie 如此重要?
几年前,当多重身份验证 (MFA) 尚未普及时,大多数人仍然仅使用用户名和密码进入帐户。如今,MFA 随处可见,因为它是阻止简单撞库攻击的有效方法。黑客适应了。
“在过去的几年里,犯罪分子已经开始使用被盗的身份验证 cookie,因为实际上,您甚至不需要进行身份验证。我不需要尝试传递用户名和密码,因为我有一个尚未过期的有效 cookie。我基本上可以说,嘿,我是应该有权访问该网站的人,让我进去,”希利戈斯说。
去年,当威胁行为者利用 Google 的 cookie 撤销策略发现了他们所谓的零日漏洞时,该漏洞很快就被集成到多个信息窃取程序中。该恶意软件系列旨在渗透计算机系统并窃取敏感信息。
“信息窃取者社区是第一个发现这一点的人,这并不奇怪。很长一段时间以来,信息窃取者一直使用 cookie 盗窃作为访问帐户的方式,”Hilligoss 指出。
身份验证 cookie 确定您与服务的会话的到期时间。令牌会在一段时间后过期,这可能需要几分钟到几个月的时间,用户需要重新进行身份验证。恶意行为者可以访问 cookie 和设备信息,不再需要知道密码和安全密码或有权访问帐户恢复选项。
在没有此类令牌的情况下使用网络服务将感觉像是一场噩梦。
“假设您正在访问银行的网站。您登录后,单击您的支票帐户,您不想再次登录。正确的?想象一下,如果每次单击链接时,您都必须返回并输入您的用户名和密码。这不是一个好的用户体验。这就是 cookie 为您做的事情。但只要在有效期内,其他人就可以使用同一个 cookie。”Hilligoss 解释道。
当然,网站会执行额外的检查,以确保设备相同且属于同一用户。
“谷歌做出了回应,他们做了一些改变并修复了一些问题。然后他们基本上在本月初出来说,你知道,这不是一个漏洞。这就是 cookie 的作用,这就是技术应该如何工作,确保您知道、进入并撤销您帐户内的所有会话,”Hilligoss 说。
网络犯罪分子很容易窃取会话令牌/cookie吗?
“恶意软件在这方面已经变得非常非常擅长。大多数浏览器将 cookie 材料存储在本地数据库中,”Hilligoss 证实。“当您访问银行网站时,输入用户名和密码,然后单击登录。该服务器将为您的浏览器提供一个唯一的 cookie。然后,该浏览器会将该 cookie 保存到您设备上的数据库中,因此下次您访问该网站时,它会自动将该 cookie 与为该网站保存的任何其他 cookie 一起提供。”
Hilligoss 解释说,恶意软件就像浏览器一样,会访问同一数据库来检查是否有银行或其他服务的 cookie。然后,这些令牌将导出到受害者设备本地的文件中,与其他系统和用户信息(例如屏幕分辨率、CPU 型号、RAM 数量、操作系统等)捆绑在一起。
“各种基于设备的信息将被捆绑在一起,然后发送给攻击者。到那时,攻击者就可以成为你。有很多开源和免费软件允许他们导入 cookie 并将其系统设置为与您的系统相似,从而欺骗性地让浏览器认为您正在运行带有此补丁号、CPU 和所有其他内容的 Windows 11,”专家说。
然后攻击者就可以访问 Gmail 或其他帐户。
“归根结底,每个 cookie 本质上都是脆弱的。问题在于攻击设备的恶意软件,而不是 cookie 本身。”
200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
您如何保护自己免受此类攻击?
“最重要的是确保你一开始就不会被感染,”希利戈斯说。“信息窃取者恶意软件非常普遍。我们每天都会在世界各地看到数十万例独特的感染,特别是在像我们这样的人居住的那些受感染最多的国家。这是欧洲,是美国。富裕的地方,犯罪分子可以赚很多钱。”
他建议进行良好的端点监控、安装防病毒软件并保持更新。
“不要点击广告。一般来说,很多恶意软件都是通过广告传播的。”
公司应该制定良好的补救政策,因为感染仍然会发生,并练习快速检测和撤销受损的代币以限制损害
用户还应该撤销对不再使用的设备的访问权限。他们对会议持续时间的控制也有限。
有时您可能会看到有一个小复选框,上面写着“记住这台计算机”之类的内容。如果您点击该复选框,通常会建立一个持久性 cookie,”Hilligoss 解释道。
他建议将此复选框留空并每次登录新会话,以使 cookie 过期时间最短。
Hilligoss 还承认,他个人是一个网络安全迷,以至于“我的家人讨厌我”。
“说到互联网安全,我们有一个家庭防火墙,一切都需要加密——我阻止所有未加密的流量。我们一直在各处使用密码管理器,但我不记得上次创建自己的密码是什么时候。是的,当您可以尽可能避免电子邮件和短信、MFA 时,MFA 非常棒。从参与者的角度来看,这是最容易规避的,因为 SIM 交换正在成为一个大问题。如果您有一个应用程序,即 Google Authenticator,那么这些东西就太棒了。像 YubiKey 这样的硬件令牌也很棒。”
200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
犯罪分子花几百美元租用强大的恶意软件
SpyCloud Labs 专门从事暗网研究和违规数据分析,而 Hilligoss 将大量时间花在暗网上。
该公司观察到一个强大的信息窃取者 LummaC2,其中包括身份验证协议 OAuth2 的最新漏洞,提供按月定价方案,其中最便宜的“经验丰富”计划为 250 美元/月,“专业”计划为 500 美元/月”,以及“ Corporate’ 价格再次翻倍(1000 美元/月)。
“我们不是在谈论你必须自己编码的事情。如今,我们任何一个拥有 100-150 美元比特币的人都可以订阅这些盗窃软件之一。无需编码经验。您立即就具备了重新生成 Google 代币的所有这些功能。”Hilligoss 说道。“这就像零复杂性。这就是能够创建一个比特币钱包,在其中填充一些资金,然后将其发送给互联网上的某个人的复杂性。就是这样,你已经启动并运行了,你就是一个网络犯罪分子。”
这种令人担忧的恶意软件即服务模式包括采用新技术不断改进的趋势,Hilligoss 将这种情况比作“拿着手榴弹的五岁孩子”。
“我长期以来一直在研究信息窃取恶意软件,我想说,去年信息窃取程序的新进展比以往任何一年都多,”Hilligoss 说。
“我们已经看到信息窃取者推出了可以窃取远程桌面设备配置文件的模块。例如,如果您安装 Anydesk 并受到像 Lumma 这样的信息窃取程序的攻击,则该配置文件可能会被窃取。”
这将使攻击者能够远程控制设备。
“有如此多的威胁在不断发展、不断改善。你知道,现在世界上某个地方有人正在研究这个 V2,它的规模将会更大,更具破坏性。不可能预测它会走向何方,”希利戈斯总结道。“让我们努力保护我们所知道的所有威胁,这样当下一个威胁出现时,至少我们不用担心所有这些事情。”
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
-
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
-
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
2347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
