笨賊一籮筐？駭客把竊來的企業密碼放在公開網路頓失價值

駭客竊取企業用戶帳密是為了有利可圖，像是集結起來賣給其他駭客。不過有時駭客也會犯錯，像是把好不容易竊來的用戶帳密放在公開伺服器上，讓所有人都能以Google搜尋、分一杯羹。

安全廠商Checkpoint 近日調查一宗8月起流傳的釣魚信件攻擊。該釣魚信件偽裝成知名企業，傳給了大量用戶。

信件為很典型的攻擊手法，內容為由惡意HTML檔，看似來自Xerox或Xeros，點入信件附檔會跳出一個訊息，宣稱是有密碼防護的Office 365檔案，需要使用者輸入才能開啟。一旦使用者輸入帳密，就會被蒐集帳號密碼。研究人員分析有近500筆無辜受害者被取得Office 365帳密。

Checkpoint分析，駭客是先駭入數十個知名公司網站的WordPress伺服器，將惡意郵件PHP網頁發送到受害者信箱，並將受害者輸入的帳密儲存在這些WordPress 網站上。這作法也合理，因為這些網站的高知名度也使其發送的釣魚信件較不容易被過濾掉。事實上，60多個安全產品都未能掃瞄辨識出這個釣魚信件。

但研究人員指出，駭客犯的唯一一個錯誤是將這些資料存在可被Google或其他搜尋引擎索引的檔案中，以致於任何人可以透過Google搜尋到這些被竊電子郵件信箱和密碼。這一名駭客等於是將自己辛苦的成果免費讓其他駭客享用。

分析這名駭客蒐集的資訊，Checkpoint判斷最主要受害產業是營建業、能源、IT業，所幸這些密碼可能也不是全然是真實帳密。但研究人員指出，這再度顯示，只要有心，網路上真的隨時可以找到被竊的密碼，也突顯定期變更密碼或使用無密碼、多因素驗證(MFA)的重要性。

來源：Ars Technica