¿Direcciones IP disponibles en el mercado negro?

Navega tus respuestas
4

Sé que los delincuentes pueden encontrar fácilmente en el mercado negro grandes volcados de bases de datos de contraseñas de sitios pirateados. Estos pueden contener el nombre de usuario, la contraseña y la dirección de correo electrónico de millones de usuarios.

Pero ¿qué pasa con las direcciones IP? ¿Es fácil encontrar conjuntos de datos similares que también contengan, para cada usuario, la última dirección IP que el usuario utilizó para iniciar sesión en el sitio? O, para decirlo de otra manera, ¿es fácil para los delincuentes obtener una base de datos grande que enumera, para muchas direcciones IP, una dirección de correo electrónico para alguien que podría haber usado esa dirección IP recientemente? Por reciente, me refiero a "en los últimos años".

Supongamos que un delincuente desea una gran base de datos que, para millones de usuarios, tiene su dirección de correo electrónico y una dirección IP que el usuario ha utilizado recientemente. (Esto permitiría al delincuente realizar una búsqueda por dirección IP y recuperar una dirección de correo electrónico para un usuario que haya utilizado esa dirección IP). ¿Está disponible para la venta en el mercado clandestino criminal? ¿O es esto difícil / caro para los delincuentes?

Contexto: estoy tratando de evaluar la plausibilidad de una hipótesis acerca de cómo algunas personas podrían ser engañadas por una campaña de ataque específica. Para estos fines, sería útil saber si es fácil para los delincuentes obtener grandes conjuntos de datos que les dicen no solo los nombres de usuario y las contraseñas, sino también la información de la dirección IP, o si esta información no está disponible para la mayoría de los delincuentes. . En otras palabras, esto es efectivamente una pregunta acerca de la economía del delito cibernético: cuál es el costo para un delincuente de obtener una base de datos de registros (emailaddr, ip_addr), en comparación con el costo de obtener una base de datos de (nombre de usuario, contraseña, emailaddr) registros?

Sé de NAT y la asignación dinámica de direcciones IP y sus implicaciones para esta situación.

    
pregunta D.W. 11.07.2016 - 23:59
fuente

3 respuestas

1

¿Es factible encontrar una lista de las IP de los usuarios que usa una cuenta? La respuesta a esta pregunta es "Depende de la respuesta del usuario" .

El esfuerzo requerido

En un simple volcado de base de datos (las listas más comunes que mencionó con el correo electrónico, la contraseña) esa lista a menudo fue generada por una página insegura con una vulnerabilidad de inyección. A menudo, en ese punto, el atacante no tiene ninguna consola, sistema de archivos u otro acceso. Simplemente obtuvieron una copia de la misma tabla y esa tabla probablemente no almacena esa información, ya que podría ser una relación de muchos a muchos, y generalmente existe en un servidor de intranet separado si tienen la detección de fraude regional implementada en todos.

Se necesitaría un ataque mucho más profundo, arriesgado y difícil solo para LOCALIZAR los datos. Entonces necesitas atacar para tratar de obtener los datos. A menudo, no vale la pena correr el riesgo a menos que esté esperando una gran recompensa o haya encontrado prácticas de seguridad horribles en primer lugar. Si la seguridad es tan horrible, probablemente no sea un sistema que incluso almacene esa información o tenga implementados sistemas regionales de detección de fraudes.

La alternativa

Una forma mucho más sencilla de hacerlo es enviar por correo electrónico a cada usuario un correo electrónico de phishing con algo para que hagan una solicitud a su servidor para recopilar esta información. Este es un ataque mucho más simple con una recompensa más pequeña, pero aún así es una recompensa. Es muy fácil hacerlo solo con una simple lista de correo electrónico / contraseña y un servidor de phishing suficientemente bien diseñado con suficientes páginas / enlaces convincentes.

En este punto, ya que es tan simple, es una especie de "si lo tenemos, tenemos suerte", o una situación de "bricolaje". Estos sistemas a menudo son complejos y, en ocasiones, se descargan por completo, lo que hace que los ataques encuentren esa información casi imposible.

    
respondido por el Robert Mennell 12.07.2016 - 00:38
fuente
1

No. Tal base de datos no está disponible.

  1. Las direcciones IP no significan nada para la mayoría de los usuarios, por lo que no puede confrontarlas con este hecho. Una declaración como "Sé la dirección IP que tenías el 2015-11-09" es tan aterradora como "Sé cuántos pasos has tomado el 2015-11-09": incluso si eso es un hecho, el usuario mismo no lo sabría cómo probar que esa afirmación es verdadera.
  2. Incluso si alguien sabe qué es una dirección IP, la publicación de una dirección IP no es una amenaza para la seguridad en el formato dado Dirección de correo electrónico + Dirección IP (puede ser un riesgo cuando se publica otra información, por ejemplo, el nivel de parche del SO y el SO)
  3. La información es de corta duración: muchos ISP proporcionan IP nuevas cada 24 horas, por lo que una dirección IP "en los últimos años" es bastante inútil
  4. La información es incierta: debido a NAT, proxies, etc., muchas personas pueden usar una dirección IP
  5. Las personas con un interés legítimo en los nombres de las direcciones IP, como violaciones de derechos de autor para la música, el abogado puede solicitar el nombre a una IP de todos modos. No es necesario confiar en una lista dudosa.

Conclusión: dicha base de datos no está disponible ya que no tiene ningún valor y, por lo tanto, no puede venderla .

    
respondido por el Thomas Weller 12.07.2016 - 08:17
fuente
0

Sí, dicha información está disponible en el mercado negro y se basa en ISP. Por lo general, dichos paquetes de datos contienen la IP asignada por el ISP y al menos la dirección MAC o los clientes regionales o incluso nacionales de ese ISP específico, a veces junto con otros datos del cliente.

Teniendo en cuenta el número promedio de ISP en el país promedio de la Unión Europea, no puedo excluir la posibilidad de que dicha información exista también como completa en una fecha específica. Por ejemplo, en muchos países de la UE no hay más de 3 ISP que cubren más del 90% del país (a veces tan alto como el 98%). Tenga en cuenta que dicha información se puede extraer a nivel regional (ciudad, condado) o nivel ISP nacional (más caro).

Tenga en cuenta que puedo confirmar sin demora que dicha información existe en el mercado negro (confirmada por al menos 1 ISP en mi país, al igual que un archivo de Excel grande con todos los números de teléfono y nombres de clientes que forman un gran proveedor de servicios de telefonía móvil existe), aunque desde mi punto de vista tendría un uso limitado en comparación con una base de datos de correo electrónico o número de teléfono.

    
respondido por el Overmind 12.07.2016 - 11:26
fuente

Lea otras preguntas en las etiquetas

¿Qué es específicamente "potencialmente peligroso" sobre un signo en una URL? ¿Ataque de canal lateral en SSD?