Gli indirizzi IP sono prontamente disponibili sul mercato nero?

Naviga le tue risposte
4

So che i criminali possono facilmente trovare sul mercato nero grandi dump di database di password da siti compromessi. Questi possono contenere il nome utente, la password e l'indirizzo email per milioni di utenti.

Ma per quanto riguarda gli indirizzi IP? È facile trovare set di dati simili che contengono anche, per ciascun utente, l'ultimo indirizzo IP utilizzato dall'utente per accedere al sito? Oppure, per dirla in altro modo, è facile per i criminali mettere le mani su un grande database che elenca, per molti indirizzi IP, un indirizzo email per qualcuno che potrebbe aver usato di recente quell'indirizzo IP? Di recente, intendo "negli ultimi anni".

Supponiamo che un criminale desideri un database di grandi dimensioni che, per milioni di utenti, abbia il proprio indirizzo email e un indirizzo IP che l'utente ha recentemente utilizzato. (Ciò consentirebbe al criminale di effettuare una ricerca per indirizzo IP e recuperare un indirizzo e-mail per un utente che ha usato quell'indirizzo IP.) È prontamente disponibile per la vendita sul mercato clandestino criminale? O è così difficile / costoso per i criminali di venire?

Contesto: sto cercando di valutare la plausibilità di un'ipotesi su come alcune persone potrebbero essere oggetto di phishing da una specifica campagna di attacco. Per questi scopi, sarebbe utile sapere se è facile per i criminali mettere le mani su insiemi di dati di grandi dimensioni che dicono loro non solo nomi utente e password ma anche informazioni sull'indirizzo IP, o se queste informazioni non sono prontamente disponibili per la maggior parte dei criminali da giardino . In altre parole, questa è effettivamente una domanda sull'economia del crimine informatico: qual è il costo per un criminale di ottenere un database di record (emailaddr, ip_addr), rispetto al costo di ottenere un database di (username, password, emailaddr) record?

So di NAT e assegnazione dinamica degli indirizzi IP e delle loro implicazioni per questa situazione.

    
posta D.W. 11.07.2016 - 23:59
fonte

3 risposte

1

È possibile trovare un elenco di IP utente utilizzati da un account? La risposta è "Dipende dall'utente" answer.

Lo sforzo richiesto

In un semplice dump di DB (le liste più comuni che hai citato con email, password) quell'elenco era spesso generato da una pagina non sicura con una vulnerabilità di tipo injection. Spesso a quel punto l'utente malintenzionato non ha console, file system o altri accessi. Hanno semplicemente ottenuto una copia della tabella stessa e tale tabella più probabilmente non memorizza quell'informazione poiché potrebbe essere una relazione molti a molti e di solito esiste su un server Intranet separato se hanno quel rilevamento di frodi regionali in atto a tutti.

Sarebbe quindi necessario un attacco molto più approfondito, rischioso e difficile solo per LOCARE i dati. Quindi è necessario attaccare per provare e ottenere i dati. Spesso non vale il rischio a meno che non ti aspetti un enorme guadagno o abbia trovato pratiche di sicurezza orribili in primo luogo. Se la sicurezza è così orribile anche se probabilmente non sarebbe un sistema che memorizza tali informazioni o ha sistemi di rilevamento delle frodi regionali in atto.

L'alternativa

Un modo molto più semplice per farlo è di inviare per e-mail a ogni utente un'e-mail di spear phishing con qualcosa per fargli fare una richiesta al tuo server per raccogliere queste informazioni. Questo è un attacco molto più semplice con un payoff più piccolo, ma comunque un payoff. È abbastanza facile da fare da solo con una semplice lista di email / password e un server di phishing abbastanza ben progettato con pagine / link abbastanza convincenti.

A questo punto, dal momento che è così semplice, è una specie di situazione "Se ce l'abbiamo abbiamo avuto fortuna", o una situazione "fai-da-te". Questi sistemi sono spesso complessi e talvolta scaricati interamente rendendo gli attacchi per trovare tali informazioni quasi impossibili.

    
risposta data 12.07.2016 - 00:38
fonte
1

No. Tale database non è disponibile.

  1. Gli indirizzi IP non significano nulla per la maggior parte degli utenti, quindi non puoi affrontarli con questo fatto. Una frase del tipo "Conosco l'indirizzo IP che hai avuto il 2015-11-09" è spaventosa come "So quanti passi hai percorso il 2015-11-09": anche se questo è un dato di fatto, l'utente stesso non lo saprebbe come dimostrare che la dichiarazione è vera.
  2. Anche se qualcuno sa che cos'è un indirizzo IP, pubblicare un indirizzo IP non è una minaccia per la sicurezza nel formato specificato Indirizzo email + Indirizzo IP (potrebbe essere un rischio quando pubblichi altre informazioni, ad esempio livello di patch per OS e OS)
  3. L'informazione è di breve durata: molti ISP danno nuovi IP ogni 24 ore, quindi un indirizzo IP "negli ultimi anni" è abbastanza inutile
  4. Le informazioni sono incerte: a causa del NAT, dei proxy ecc. un indirizzo IP può essere utilizzato da molte persone
  5. Le persone con un interesse legittimo nei nomi degli indirizzi IP, come le violazioni del copyright per la musica, possono comunque richiedere il nome a un IP. Non è necessario fare affidamento su un elenco dubbi.

Conclusione: un tale database è non disponibile poiché non ha valore e quindi non puoi venderlo .

    
risposta data 12.07.2016 - 08:17
fonte
0

Sì, tali informazioni sono disponibili sul mercato nero e sono basate su ISP. Di solito, tali pacchetti di dati contengono l'IP assegnato dall'ISP e almeno l'indirizzo MAC o clienti regionali o nazionali di quel particolare ISP, a volte insieme ad altri dati del cliente.

Considerando il numero medio di fornitori di servizi Internet nel paese medio dell'Unione europea, non posso escludere la possibilità che tali informazioni siano anche complete in una data specifica. Ad esempio, in molti paesi dell'UE non ci sono più di 3 ISP che coprono oltre il 90% del paese (a volte fino al 98%). Si noti che tali informazioni possono essere estratte a livello regionale (città, contea) o livello nazionale dell'ISP (più costoso).

Si noti che non posso confermare che tali informazioni esistano nel mercato nero (confermate da almeno 1 ISP nel mio paese, proprio come un grande file Excel con tutti i numeri di telefono e i nomi dei clienti formano un grande fornitore di servizi di telefonia mobile esiste), anche se dal mio punto di vista avrebbe un uso limitato rispetto a un database di numeri di posta elettronica o di telefono.

    
risposta data 12.07.2016 - 11:26
fonte

Leggi altre domande sui tag

Problema di sicurezza dell'autenticazione client-server Perché è richiesto in OAuth 2.0 che il token di aggiornamento non possa essere indovinato?