web-dev-qa-db-ja.com

闇市場ですぐに利用できるIPアドレス?

犯罪者はハッキングされたサイトからのパスワードデータベースの大量のダンプを闇市場ですぐに見つけることができることを知っています。これらには、何百万ものユーザーのユーザー名、パスワード、およびメールアドレスが含まれている場合があります。

しかし、IPアドレスはどうでしょうか。ユーザーごとに、ユーザーがサイトへのログインに使用した最後のIPアドレスも含まれている同様のデータセットを見つけるのは簡単ですか?または、別の言い方をすると、犯罪者は、多くのIPアドレスについて、そのIPアドレスを最近使用した可能性のある人の電子メールアドレスをリストする大規模なデータベースに簡単に手が届くのでしょうか。最近では、「過去数年間」という意味です。

犯罪者が、数百万のユーザーにとって、ユーザーが最近使用した電子メールアドレスとIPアドレスを持つ大規模なデータベースを必要としているとします。 (これにより、犯罪者はIPアドレスで検索し、そのIPアドレスを使用したユーザーの電子メールアドレスを取得できます。)これは、犯罪者のアンダーグラウンドマーケットで簡単に販売できますか?それとも、犯罪者が手に入れるのは難しい/高価なのでしょうか?

コンテキスト:特定の攻撃キャンペーンによって一部の人々がフィッシングされる可能性があるという仮説の妥当性を評価しようとしています。これらの目的のために、犯罪者がユーザー名とパスワードだけでなくIPアドレス情報も伝える大規模なデータセットを簡単に手に入れることができるかどうか、またはこの情報がほとんどの園芸品種の犯罪者にすぐに利用できないかどうかを知るのに役立ちます。言い換えれば、これは事実上、サイバー犯罪の経済性に関する質問です。(username、password、emailaddr)のデータベースを取得するコストと比較した、(emailaddr、ip_addr)レコードのデータベースを取得する犯罪者のコストはどれくらいですか?記録?

NATと動的IPアドレスの割り当て、およびこの状況への影響について知っています。

reconnaissancecrime
4
D.W.

アカウントで使用されているユーザーIPのリストを見つけることは可能ですか?その答えは"ユーザーによって異なります"です。

必要な労力

単純なDBダンプ(電子メール、パスワードで言及した最も一般的なリスト)では、そのリストは、インジェクションの脆弱性がある安全でないページによって生成されることがよくありました。多くの場合、その時点で、攻撃者はコンソール、ファイルシステム、またはその他のアクセス権を持っていません。彼らは単にテーブル自体のコピーを取得し、そのテーブルは多対多の関係である可能性があるため、その情報を格納しない可能性が高く、通常、地域の不正検出が行われている場合、別のイントラネットサーバーに存在します。すべて。

データを突き止めるには、さらに深く、リスクが高く、難しい攻撃が必要になります。その後、攻撃してデータを取得する必要があります。多くの場合、大きな見返りを期待している場合や、そもそも恐ろしいセキュリティ対策を見つけていない場合は、リスクを冒す価値はありません。セキュリティがそれほどひどい場合でも、その情報を保存したり、地域の不正検出システムを導入したりするシステムにはならないでしょう。

オルタナティブ

より簡単な方法は、各ユーザーにスピアフィッシングメールを電子メールで送信して、この情報を収集するようサーバーに要求することです。これははるかに単純な攻撃で、ペイオフは小さくなりますが、それでもペイオフはあります。シンプルなメール/パスワードリストと十分に設計された十分なページ/リンクを備えたフィッシングサーバーを使用すれば、自分で簡単に行うことができます。

現時点では非常に単純であるため、「それがあればラッキーになった」状況、または「DIY」状況のようなものです。これらのシステムはしばしば複雑であり、時には完全にオフロードされるため、攻撃によってその情報を見つけることはほとんど不可能に近いものになります。

1
Robert Mennell

いいえ。そのようなデータベースは利用できません。

  1. IPアドレスはほとんどのユーザーにとって意味がないので、この事実に直面することはできません。 「2015-11-09に持っていたIPアドレスを知っています」のような文言は、「2015-11-09で歩いた歩数を知っています」と同じくらい怖いです。それが事実であっても、ユーザー自身は知らないでしょう。そのステートメントが真実であることを証明する方法。
  2. 誰かがIPアドレスを認識している場合でも、 IPアドレスの公開はセキュリティ上の脅威ではありません 指定された形式の電子メールアドレス+ IPアドレス(OSなどの他の情報を公開する場合はリスクがある可能性があります)およびOSパッチレベル)
  3. 情報は短命です:多くのISPは24時間ごとに新しいIPを提供するため、「過去数年の」IPアドレスはまったく役に立たない
  4. 情報は不確実です。NAT、プロキシなどにより、IPアドレスが多くの人によって使用されている可能性があります
  5. 音楽の著作権違反など、IPアドレスの名前に正当な関心を持つ人々は、弁護士はとにかくIPに名前を要求できます。疑わしいリストに依存する必要はありません。

結論:そのようなデータベースは価値がないため利用できません。したがって、販売できません

1
Thomas Weller

はい、そのような情報は闇市場で入手でき、ISPベースです。通常、このようなデータパケットには、ISPが割り当てたIPと、少なくとも特定のISPのMACアドレスまたは地域または国内のクライアントが含まれ、他のクライアントデータも含まれることがあります。

EU諸国の平均的な国のISPの平均数を考えると、そのような情報が特定の日付に完全なものとして存在する可能性を排除することはできません。たとえば、多くのEU諸国では、国の90%以上(場合によっては98%)をカバーするISPは3つ以下です。このような情報は、地域レベル(市、郡)または全国ISPレベル(より高価)で抽出できることに注意してください。

そのような情報が闇市場に存在することを確認できることに注意してください(私の国の少なくとも1つのISPから確認されます。これは、すべての電話番号とクライアント名が非常に大きな携帯電話サービスプロバイダーからなる大きなExcelファイルが存在するのと同じです)。私の見解では、電子メールや電話番号のデータベースと比較すると、使用は制限されます。

0
Overmind