无能的网络犯罪分子在OPSEC失败中泄漏数据

在网络钓鱼活动中窃取了用户凭据的网络罪犯意外地留下了互联网上的数千个密码，可以通过简单的谷歌搜索来访问公众。

被盗数据的特写是由Check Point Research和Otorio的联合团队揭示的，该团队通过伪装电子邮件活动来源于伪装电子邮件作为Xerox扫描仪发送的通知。

该活动电子邮件提示用户打开恶意HTML附件，绕过Microsoft Office 365的高级威胁保护过滤器。该活动在2020年8月举行，瞄准了建筑和能源领域。

但是，攻击者将指定的网页上的凭据存储在Internet上不仅可以访问的受损服务器上的指定的服务器上，而且由Google索引。

有效地，这意味着被盗的凭据可供任何人为与他们相关联的电子邮件地址询问谷歌 - 任何发生在他们身上的机会主义攻击者的礼物。

“我们倾向于相信，当有人窃取我们的密码时，最坏情况的情况是，通过黑暗网交换它们的黑客将使用这些信息。但不是在这种情况下 - 任何人都可以访问被盗的信息，“威胁情报LETEM Finkelsteen的检查点头说。

“攻击者的策略是将被盗信息存储在他们创建的特定网页上。这样，在网络钓鱼活动持续一段时间后，攻击者可以扫描各个网页的受损服务器，收集凭据以窃取。

“攻击者不认为如果他们能够为这些页面扫描互联网，谷歌也可以。这对攻击者来说是一个明确的操作安全失败，“Finkelsteen说。

这一事件的教训是双重的：及时提醒安全团队在处理任何数据时更加关注基本的运营安全实践;以及保护用户免受网络钓鱼攻击 - 毕竟，没有任何数据都泄露如果目标组织的没有人首先开启了可疑电子邮件附件。

与用户一样，对用户的建议很容易遵循：