由于人们对电子邮件地址和与其关联的帐户的安全性始终存在担忧,因此有必要检查数字环境中存在的漏洞和威胁。
在通过窃取者日志对一些顶级电子邮件提供商的域名进行分析时,我们有针对性地在 2024 年第一季度共享数据,以说明最近发生的情况并提供最新的见解。
每个人都知道人们在网上分享电子邮件地址很容易,但经常没有考虑到可能的风险。这无意中使用户遭受剥削。即使您不经常访问互联网上的可疑角落,您经常访问的网站也可能有一天会受到威胁。威胁行为者敏锐地利用这些机会,部署 信息窃取恶意软件 来秘密窃取有价值的数据。
这不仅是最终用户面临的风险,也是最终用户面临的风险。受影响的平台或网站可能会在客户眼中变得不可靠,或者,作为企业主,您的信息可能最终会出现在这些窃取者日志中,这意味着潜在的厄运。
通过检查窃取者日志中广泛使用的电子邮件域,借助 SOCRadar 的 威胁搜寻 功能,我们的目标是辨别哪些是最有针对性的目标,并衡量用户的谨慎程度。尽管此类统计数据受到每个提供商的用户群的影响,但该分析仍然提供了有关电子邮件安全整体情况的重要见解。
SORadar 的威胁追踪
现在,让我们继续确定本文中检查的提供商和域。
-
Gmail由 Google 运营,是全球使用最广泛的电子邮件服务之一,其域名主要是 gmail.com。
-
Outlook是 Microsoft 提供的一项服务,在 Outlook.com 域下提供电子邮件解决方案。 Outlook 以其与 Microsoft Office 的集成和广泛的企业使用而闻名,是电子邮件服务领域的重要参与者。
-
ProtonMail 通过提供端到端加密和对隐私的关注而脱颖而出。其域名包括@proton.me、@protonmail.com、@pm.me 和@protonmail.ch。 ProtonMail 经常受到那些在通信中寻求更高安全性和隐私的个人的青睐。
-
Tuta,以前称为 Tutanota,将自己定位为注重隐私的电子邮件和日历服务。其免费套餐提供的电子邮件地址域名包括 tutamail.com、tuta.io、tutanota.com、tutanota.de 和 keemail.me。 Tuta 在重视隐私和数据安全的用户中也特别受欢迎。
注意:虽然一些提供商提供自定义域名,但我们的分析重点是主域。
以下是我们在窃取者日志中发现的有关电子邮件提供商的内容
在审查了顶级电子邮件提供商的窃取者日志后,我们发现了 2024 年第一季度的重大数据泄露情况。这些窃取者日志来自 2,841 个受感染的受害者 IP 地址,总共有 1,904,497 条用户记录,这些窃取者日志暴露了广泛的个人信息和登录凭据,用户脆弱性的令人不安的景象。
受损的数据包括:
-
216,395 个唯一的电子邮件地址(和用户名),使数以万计的人面临网络钓鱼和身份盗窃等潜在网络威胁。
-
63,103 个唯一密码,构成重大安全风险,允许未经授权访问敏感帐户和信息。
-
3,013 个信用卡 (CC)/银行识别码 (BIN) 详细信息计数,突出了财务影响,增加了欺诈交易的风险。
-
11,021 个哈希值,以加密方式表示敏感数据;他们的妥协使得未经授权的访问和操纵成为可能,从而加剧了安全影响。
此外,在我们的分析过程中,出现了各种威胁行为者和恶意软件实体,包括 Starz、 Crypton、 Vidar、 HubHead、 AirBender、 ArtHouse、 OnionLABS、 Hulk Logs和 Zero Logs。
为什么这有关系?
我们在窃取者日志中发现的数据通常成为威胁行为者非法购物的商品。他们购买或免费获取泄露的敏感信息,利用这些信息来助长各种恶意活动。常见事件包括网络钓鱼计划、欺诈交易和未经授权访问关键资产。
最令人担忧的是企业 凭证何时 会进入这些窃取者日志。威胁行为者可以利用此类信息对整个组织发起有针对性的攻击,从而造成重大的财务和声誉损失。
了解哪些域最常成为目标或包含在这些日志中可以更清楚地了解最大风险所在。
您可以使用 SORadar 的免费 帐户违规检查 服务轻松识别受损帐户。作为 SOCRadar Labs 套件的关键组件,它使用户能够在违规数据库中搜索他们的域名或电子邮件地址,以确定他们的帐户是否已被泄露。
帐户违规检查,SOCRadar 实验室
哪些国家的用户更频繁地使用窃取日志?
分析受窃取者恶意软件影响的电子邮件提供商内的地理数据揭示了不同的模式,表明对网络威胁的敏感性不同。受害国家/地区的百分比分布提供了有关这些日志在不同地区的影响的重要见解:
与不同流行电子邮件域相关的窃取者日志中的受害者国家/地区分布
虽然日志中识别出了 166 个不同的国家/地区域名代码,但超过 600 个国家/地区代码缺乏特定的国家/地区代码并且包含 混合 信息。尽管如此,我们的分析指出,受盗窃原木影响最严重的前五个国家是 巴西(8.1%)、 印度(3.4%)、 美国(3.4%)、 孟加拉国(3.2%)和 巴基斯坦(3.1%)。
这些发现表明,这些国家/地区的用户可能更频繁地进行在线活动,使他们成为窃取恶意软件的主要目标,从而损害他们的在线信息。
分析窃取者日志中电子邮件提供商的用户存在情况
窃取者日志中存在某些电子邮件提供商的用户并不一定反映这些平台的安全性。然而,我们可以说攻击者根据电子邮件域的流行程度和使用模式来调整他们的策略。
下面,我们通过在每个电子邮件提供商中找到的用户记录的百分比来描述哪个电子邮件提供商的用户更频繁地出现在窃取者日志中:
窃取者日志中的用户记录
这些统计数据突显了某些电子邮件提供商和用户记录在窃取者日志中的普遍性,其中 Gmail 领先,紧随其后的是各种 ProtonMail 域。虽然百分比可能有所不同,但窃取者恶意软件带来的风险强调, 如果不认真遵循最佳实践,任何用户或网站都容易受到攻击。
如果您希望评估电子邮件服务器的安全性,SOCRadar Labs 的电子邮件安全分级器 将非常有帮助,尽管正如我们之前提到的,这些计数并不反映电子邮件提供商的安全性。
SORadar 的电子邮件安全分级器生成的报告的一部分
Email Security Grader 是SOCRadar 提供的免费SOC 工具之一 。它可以快速评估您的电子邮件服务器以查找漏洞,提供有关电子邮件服务器风险状况的信息,并提供增强电子邮件安全性的可行指导。
这些电子邮件中有多少带有 CC(信用卡)/哈希信息?
在本节中,我们将通过对著名电子邮件提供商的受感染用户的探索来探索窃取者日志中发现的信用卡 (CC) 详细信息,并根据此类信息的暴露程度对域进行排名。
在开始之前,值得一提的是,信用卡 (CC) 和银行识别码 (BIN) 数据出现在大约 24% 的日志中,这表明存在重大的金融欺诈或未经授权交易的风险。
包含 CC 的前五个域名是 protonmail.com (33.72%)、 hotmail.com (15.41%)、 tutanota.com (11.90%)、 protonmail.ch (9.44%)和 yahoo.com (6.78%)。
CC 包含的热门域名
这些域在窃取者日志中表现出高度集中的受损信用卡信息,表明金融 欺诈 或滥用信用卡详细信息的风险增加。
尽管由于 Gmail 庞大的用户群 以及在我们的窃取者日志搜索结果中的显着存在,人们可能认为 Gmail 拥有最容易泄露的财务信息,但 Protonmail 和 Tutanota 可能与更高的安全性相关,吸引将其财务信息与以下内容相关联的用户:这些电子邮件提供商使他们成为 寻求财务数据的攻击者的主要目标。
另一方面,代表哈希密码或其他敏感数据的哈希信息存在于大约 47% 的日志中。我们检查的窃取者日志中有一半多一点包含哈希信息,这构成了巨大的风险,因为网络犯罪分子可以尝试破解这些哈希值以访问用户帐户或解密敏感数据。
与哈希包含相关的前五个电子邮件域是 protonmail.com (29.97%)、 tutanota.com (13.73%)、 hotmail.com (12.61%)、 protonmail.ch (11.23%)和 gmail.com (8.21%)。
按哈希包含排名靠前的域名
受害者浏览器信息细分
了解受害者在数据遭到泄露时使用了哪些浏览器,可以提供有关威胁行为者用来绕过限制的渠道的重要信息。
我们在本文中检查的窃取程序日志中最常用的五个浏览器是:
受害者最常使用的浏览器
Chrome 成为受害者的主要浏览器选择,绝大多数受损的用户记录 (61.32%) 归因于该平台。
继 Chrome 之后, Edge (25.71%) 和 Firefox (5.82%) 在日志中也占据显着位置,包含了泄露数据的很大一部分。
还值得注意的是,不同领域的浏览器排名略有不同,Chrome 始终占据榜首,Edge 经常紧随其后。第三名是 Firefox 和 Brave 之间的竞争。
Chrome 和 Edge 在不同领域始终排名第一和第二
Chrome 和其他广泛使用的浏览器的主导地位凸显了加强浏览器环境抵御各种威胁(包括恶意软件和网络钓鱼攻击)的迫切需要 。
虽然Thunderbird、 Vivaldi和 PaleMoon等其他浏览器也 出现过,但数量较少。
优先部署强大的安全措施对于个人和组织防范基于浏览器的威胁并防止敏感数据落入网络犯罪分子手中至关重要。
增强针对窃取者恶意软件的安全性:最佳实践
为了防范窃取者恶意软件,组织需要采取强有力的安全措施,例如:
-
收紧帐户访问权限:
对员工帐户访问实施严格控制,利用双因素身份验证 (2FA) 或多重身份验证 (MFA) 阻止未经授权的访问。
-
推广密码管理器:
鼓励员工使用密码管理器,强调创建强而独特的密码并定期更新,以降低凭证暴露风险。
-
保持软件更新:
定期更新软件,以增强系统防御能力,防止恶意软件利用漏洞。
-
迅速行动:
在检测到窃取者恶意软件后将受感染的设备与网络隔离,迅速遏制漏洞以防止进一步的危害。
-
教育员工:
培训员工识别和规避可疑电子邮件和附件,使他们能够积极为网络安全工作做出贡献。
-
使用值得信赖的来源:
强调仅从组织认可的可信来源下载应用程序,以最大限度地降低安装恶意软件的风险。
-
监控凭证:
定期检查可公开访问的服务(例如聊天平台和云存储)中的凭证泄露情况,这些服务是网络犯罪分子的主要目标。
结论
我们的调查显示,窃取日志的普遍存在,成为网络犯罪的避风港,对数字完整性构成严重威胁。我们通过威胁追踪模块深入研究了这些日志,并揭示了它们对 Gmail、Outlook、Yahoo Mail 和 Tuta Mail 等流行电子邮件服务的影响。
在调查过程中,我们发现了令人震惊的统计数据: 超过 160 万 条用户记录遭到泄露,以及 超过 2,500 个 可能用于欺诈的 CC/BIN 数据实例。
通过使用从类似分析中收集的知识,组织可以加强其网络安全防御、减轻威胁并更有效地识别模式。
原文始发于微信公众号(OSINT研习社):您的电子邮件可能被黑客入侵吗? 2024 年窃取者日志中排名靠前的电子邮件提供商分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论