¿Los ataques HTTP de fuerza bruta para adivinar contraseñas son comunes hoy en día?

15

¿Los ataques de fuerza bruta contra cuentas en línea (gmail, facebook, instagram) son algo que realmente sucede? No quiero decir algo como descifrar hashes de contraseñas o DDoS, sino ataques de fuerza bruta reales (por ejemplo, adivinar contraseñas) mediante una red de bots o proxies.

Creo que la mayoría de las aplicaciones web grandes están protegidas contra esto utilizando cosas como los límites de velocidad, por lo que no me parece realista, pero me gustaría saber si hay publicaciones / estadísticas conocidas.

    
pregunta Martin 30.09.2016 - 18:05
fuente

3 respuestas

19

Prefiero llamarlos "ataques de adivinación de contraseñas en línea" ya que "fuerza bruta" tiene un significado específico que no siempre se aplica a estos ataques. Pero sí, todavía ocurren y aquí hay algunos ejemplos de estadísticas para usted:

Microsoft :" detectamos más de 10 millones de ataques de credenciales cada día en nuestros sistemas de identidad ".

Akamai : observaron que“ 999,980 IP estuvieron involucrados en los ataques contra la página de inicio de sesión del cliente [de una institución financiera] ”. 427 millones de cuentas se verificaron en un período de una semana. También se registraron 817,390 IP que realizaron 388 millones de intentos de inicio de sesión con 65 millones de direcciones de correo electrónico contra un cliente de la industria del entretenimiento. Al comparar las IP de origen de ambos ataques, encontraron que el 70% coincidía, lo que implica que la misma organización fue responsable de ambos ataques, o que usaron la misma red de bots.

Google : "Hemos visto un solo atacante que usa contraseñas robadas para intentar entrar en un millón de cuentas de Google diferentes cada día, durante semanas a la vez. Una pandilla diferente intentó iniciar sesión a una tasa de más de 100 cuentas por segundo ". Esto se informó en 2013, pero estoy seguro de que aún enfrentan ataques similares.

Taobao : Taobao fue atacado a través de un ataque de adivinación en línea durante unos pocos días en octubre de 2015. Los atacantes utilizaron 99M de credenciales recopiladas de otros sitios. 20.5 millones de credenciales coincidían con las cuentas de Taobao, que era aproximadamente 1 de cada 20 de sus compradores activos anuales totales. No se detectó hasta noviembre, sin embargo, Alibaba dice que en el momento en que sus sistemas de seguridad descubrieron y bloquearon la mayoría de los intentos de inicio de sesión. Todavía resultó en alrededor de $ 1 millón de transacciones de fraude en su sitio.

En estos casos, estos sitios pueden tener un límite de velocidad u otros controles de autenticación adaptativos, pero no son 100% efectivos en la prevención de todos los intentos de adquisición de cuentas.

    
respondido por el PwdRsch 30.09.2016 - 18:58
fuente
8

Anecdóticamente, sí. Los sitios de WordPress están sujetos a ataques directos de adivinación de contraseñas todo el tiempo. WordPress permite la enumeración de nombres de usuarios de forma predeterminada, y parece que hay algunas personas que usan nombres de usuarios reales para intentar adivinar solo la contraseña, pero la mayoría de los ataques adivinan tanto los nombres de usuario como las contraseñas.

Corrí una olla de miel WordPress por un par de años, y vi muchos ataques de adivinación de contraseñas. La mayoría eran de una sola dirección IP, pero algunas eran de 50-60 direcciones IP. Obtuve hasta 280 mil conjeturas en un día.

No conozco ninguna publicación ni intento de estadísticas completas, así que todo lo que tengo son anécdotas.

    
respondido por el Bruce Ediger 30.09.2016 - 18:09
fuente
2

Captchas barcaza en la casa para salvar el día. No solo los captchas en realidad. Una vez intenté hacer un simple PDA de Gmail (Python Dictionary Attacker). Básicamente, lee todas las líneas de un archivo de diccionario y prueba todas las palabras para el correo electrónico ingresado.

Pero no pude hacerlo porque Gmail tiene esta nueva función, una configuración de usuario, que no permite recibir o incluso autenticarse desde un "servicio de correo electrónico no moderno". Y está activado por defecto. Consulte esto para obtener más información: enlace

Pero eso no significa que no sea posible. Es. Por supuesto, pueden no ser "lo que es", pero definitivamente son "una cosa". Hay muchos jóvenes aspirantes a entusiastas de TI que aún no han revelado sus talentos. Uno de ellos podría ser el que descubra una forma inteligente y más precisa de estos captchas. Uno de ellos podría incluso ser el de hackear lo que no se puede descifrar. Y la mayoría de ellos tiene el objetivo de un sombrero blanco, o al menos gris, y solo quieren que te sientas mucho más seguro, así que anímate.

    
respondido por el mzcoxfde 30.09.2016 - 18:27
fuente

Lea otras preguntas en las etiquetas