/cdn.vox-cdn.com/uploads/chorus_asset/file/24564129/Splash_page_4_5_2023.jpg)
いくつかの法執行機関が協力して、標準的なユーザー名とパスワードだけでなく、セッション トークンなどのより危険なデータを含む、「8,000 万を超えるアカウント アクセス資格情報」へのアクセスを販売する Web サイト、Genesis Market を閉鎖しました。 によると 米国司法省のプレスリリース、サイトは火曜日に押収されました。 法執行協力のための欧州連合機関 (または Europol) 言う サイトのユーザーのうち 119 人が逮捕されました。
司法省によると、Genesis Marketplace は 2018 年から存在しており、「サイバー犯罪の世界で最も多作な初期アクセス ブローカー (IAB) の 1 つ」でした。 ハッカーは、ソーシャル メディア アカウントや銀行口座などの特定の種類の資格情報を検索したり、世界のどこから来たかに基づいて資格情報を検索したりできます。
代理店が提携している HaveIBeenPwned.com これは、ログイン認証情報が盗まれたかどうかを一般の人が簡単に確認できるようにするためです。私はそうすることを強くお勧めします — Genesis の動作方法のため、これは典型的な「パスワードを変更するだけで問題ない」というシナリオではありません。 」 ジェネシスがあなたの盗んだ情報を販売していたかどうかを確認する方法については、以下をご覧ください。 HaveIBeenPwned を運営する Troy Hunt の記事.
(TL;DR は、あなたがすべきことです HIBP のメール通知サービスにサインアップする 重要なメールアドレスをすべて入力し、確認メールの[メールを確認]ボタンをクリックしてください。 サイトでメールを検索するだけ しません 影響を受けたかどうかを教えてください。)
資格情報が Genesis で利用可能であることが判明した場合に、自分自身を保護するためにできることについて説明します — 本当に重要なアカウントをいくつか持っている場合に備えて、そのセクションにスキップするためのリンクがここにあります — しかし、最初に、それは役に立ちます市場がどのように機能したかを理解します。 通常、この種の企業は、ユーザー名とパスワードの組み合わせをその他の個人情報と共に販売します。 確かにそれらが飛び交うのは望ましくありませんが、パスワードが侵害された場合でも、2 要素認証はあなたを保護するのに役立ちます.
Genesis Marketplace はユーザー名とパスワードを取引していましたが、ユーザーの Cookie とブラウザーの指紋へのアクセスも販売していたため、ハッカーは 2 要素認証などの保護を回避することができました。 Cookie (具体的にはログイン トークン) は、パスワードと 2 要素認証情報を正しく入力することで、既にログインしていることを示すために Web サイトがコンピューターに保存するファイルです。 これにより、Web サイトにアクセスするたびにログインする必要がなくなります。 (彼らはまた、ジェネシスを倒すための共同作業に楽しいコードネーム「オペレーション クッキー モンスター」が与えられた理由でもあります。)
それらは間違いなく Web を使いやすくしますが、誰かがそれらを手に入れた場合 (たとえば、ユーザーにマルウェアをダウンロードさせ、ハッカーのサーバーにアップロードすることによって)、セキュリティ上のリスクをもたらします。 DOJ によると、Genesis で販売されたデータは、「世界中の 150 万台を超える侵害されたコンピューター」からのものでした。
ただし、Web 開発者はこの可能性を認識しており、追加の保護を組み込むことがよくあります。 1 つはフィンガープリンティングと呼ばれるもので、使用しているブラウザー、インストールされているフォント、使用しているハードウェアなど、コンピューターに関する大量の情報を調べる手法です。フィンガープリンティングは広告によく使用されますが、セキュリティにも役立ちます。 Cookie が Firefox を実行している Mac に関連付けられている場合、Windows PC で Chrome を使用してアカウントにアクセスするために突然使用された場合、少し疑わしいでしょう。
だからジェネシスも指紋を盗んだ。 さらに、ハッカーがログイン Cookie を使用して被害者の指紋を偽装し、アカウントにアクセスできるようにするブラウザ拡張機能も提供していました。 からの2019年のレポート ZDNET.
YouTuber の Linus Tech Tips では、この種の攻撃がどのように機能するかについて詳しく説明しています。この手法は最近、チャンネルを乗っ取るために使用されたものです。 (ただし、ハッキリさせておきますが、ハッカーは Genesis のような市場経由ではなく、直接ターゲットにして資格情報を取得したようです。)
あなたの情報が Genesis Marketplace にあった場合の対処方法
Have I Been Pwned から、あなたのデータが Genesis データセットで見つかったというメールを受け取りました。 FBI とオランダの警察によると、最初のステップは、Cookie とキャッシュをクリアする前に、コンピューターのすべての Web ブラウザーですべてのアカウントからログアウトすることです。 (これを行う方法は次のとおりです クロム、 角、 ファイアフォックス、 と サファリ.) オプションが与えられた場合は、安全のために、過去 1 週間程度だけでなく、常にデータを削除してください。 これにより、すべてからログアウトされ、無効なセッション トークンが表示されるようになります。
このステップの後、 あなたは終わっていません. あなたのデータがマルウェアによって盗まれた場合、それがまだあなたのデバイス上で実行されており、新しいログイン Cookie を盗んで別のマーケットプレイスにアップロードする準備ができている可能性が非常に高くなります。 そのため、再度ログインする前にウイルス スキャンを実行するか、コンピュータを完全にリセットする必要があります。 個人的には、ウイルスを追い詰める必要があるときはいつでも Malwarebytes を使用していますが、Windows および Mac. (はい、Mac もウイルスに感染します。)
その後、アカウントに再度ログインしても問題ありません。 チェックアウトする価値があります セキュリティ専門家 Brian Krebs の Mastodon スレッド 「ClickMe_NOTAVirus.exe」という名前のファイルのような明白で見つけやすい方法を介して常に感染するとは限らないため、コンピューターが感染する正確な方法に関する情報については、. 注意すべきいくつかの警告サインと、ファイル共有サイトなどの一般的な感染ベクトルを知っておくと、ログインを盗むマルウェアによる再感染を防ぐことができます。