Les outils de vérification des comptes e-mail piratés sont-ils authentiques ou frauduleux?

Certains des outils de vérification d'e-mail suite à la prétendue violation des serveurs de Google n'étaient pas aussi légitimes que les sites Web qui les liaient pouvaient espérer.

Certains des outils de vérification d'e-mail suite à la prétendue violation des serveurs de Google n'étaient pas aussi légitimes que les sites Web qui les liaient pouvaient espérer.
Publicité

Suite à l'annonce d'une violation des serveurs de Google qui a provoqué le piratage de 5 millions d'adresses e-mail, divers sites ont suggéré aux lecteurs de vérifier s'ils avaient été victimes en saisissant leurs adresses e-mail dans des "outils de vérification". si une adresse électronique figure dans une liste d'informations d'identification piratées.

Le problème est que certains de ces outils de vérification n'étaient pas aussi légitimes que les sites web qui les relient auraient pu espérer ...

5 millions d'adresses électroniques: la vérité

Signalé à l'époque comme une fuite massive de 5 millions de noms d'utilisateur et mots de passe de compte Gmail, il est vite apparu que l'histoire était, bien, juste que: une histoire.

Expliquant un peu plus tard, Google a révélé que moins de 2% des combinaisons nom d'utilisateur / mot de passe étaient exactes, et que leurs propres outils de sécurité de connexion auraient attrapé la majorité d'entre eux.

muo-email-vérificateur-arnaque-dollar

Ils ont également précisé que les informations d'identification n'étaient pas piratées à partir de leurs propres serveurs, mais à partir d'autres sites Web:

Il est important de noter que dans ce cas et dans d'autres, les noms d'utilisateur et mots de passe qui ont fui n'étaient pas le résultat d'une violation des systèmes de Google. Souvent, ces informations d'identification sont obtenues par une combinaison d'autres sources.

Par exemple, si vous réutilisez le même nom d'utilisateur et le même mot de passe sur plusieurs sites Web et que l'un de ces sites est piraté, vos informations d'identification peuvent être utilisées pour vous connecter aux autres.

Ainsi, un compte Gmail repris dans une violation précédente - haut profil ou autrement - aurait pu être l'un de ceux dans le fichier de données d'identification entre les mains des «pirates». Essentiellement, les informations qui auraient pu être déjà en ligne sous une forme ou une autre, les comptes Gmail cribbed à partir de plusieurs sources.

Mais comment cette histoire est-elle devenue si populaire? Probablement avec l'aide d'un grand nombre rond comme 5 millions, et l'astucieuse traction de chaîne des pirates qui ont posté les mots de passe du compte sur un forum russe Bitcoin. Jetez un outil de vérification en ligne qui confirme si votre propre compte de messagerie est dans la décharge, et vous avez une grande histoire de nouvelles.

Bien sûr, il semble probable que isleaked.com n'est pas le site que les gens pensaient que c'était.

Comment un faux vérificateur de compte de messagerie piraté fonctionne

Vérification d'une adresse e-mail par rapport à une base de données (SQL, Access ou même un fichier texte) Qu'est-ce qu'une base de données Quoi qu'il en soit, [MakeUseOf Explains] Alors qu'est-ce qu'une base de données? [MakeUseOf Explains] Pour un programmeur ou un passionné de technologie, le concept d'une base de données est quelque chose qui peut vraiment être pris pour acquis.Pourtant, pour beaucoup de gens, le concept d'une base de données elle-même est un peu étranger .... Lire la suite) des comptes e-mail piratés est relativement simple. Combiné avec un script facilement téléchargeable, un tel site pourrait être configuré en 30 minutes environ.

Troy Hunt, quant à lui, a une approche beaucoup mieux, c'est pourquoi vous devriez utiliser son site pour vérifier la fuite de vos informations d'identification chaque fois que vous lisez ou entendez parler d'un hack de compte.

muo-email-vérificateur-pwned

Comme expliqué sur son blog, Hunt a créé Have I Been Pwned?, Un site Web légitime (Hunt est un MVP de Microsoft pour Developer Security) conçu pour les utilisateurs moyens de taper leur adresse e-mail et de savoir s'ils ont été piratés ou non. En utilisant des données soumises à des sites comme Pastebin.com, il vous indique même quelle violation est responsable de la présence de votre compte de messagerie dans sa base de données.

Vous cherchez un compte de courriel piraté légitimes?

Lorsque les résultats sont affichés, le site affiche le nom du site Web à partir duquel les détails de votre compte ont été divulgués. J'espère que ce site vous aurait envoyé par courriel ou fait une annonce.

(Bien sûr, si vous vous inquiétez que votre compte e-mail a été piraté, vous devez changer votre mot de passe.) 6 Conseils pour créer un mot de passe incassable que vous pouvez vous rappeler 6 Conseils pour créer un mot de passe incassable Peut se souvenir Si vos mots de passe ne sont pas uniques et incassables, vous pourriez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner.

muo-email-vérificateur-scam-ohnoes

Comme vous pouvez le voir sur l'image ci-dessus, mon compte de messagerie a été l'un des nombreux récupérés dans la faille massive d'Adobe en 2013. Vous devriez utiliser les informations fournies par le site de Hunt pour agir immédiatement, même si votre mot de passe a changé. votre adresse e-mail restera sur le site.

Dans la mesure du possible, il peut être utile de modifier l'adresse e-mail que vous utilisez avec vos comptes en ligne.

La diligence raisonnable ne devrait pas être une chose du passé

Un élément essentiel du journalisme est la diligence raisonnable; la vérification des faits. Simplement régurgiter les communiqués de presse ne suffit pas. Tout écrivain, qu'il s'agisse de produire du contenu pour 1 $ par 1000 mots ou salarié d'un grand nom dans l'édition peut le faire.

Malheureusement sur le World Wide Web, cela n'arrive pas assez.

Quelques minutes de vérification des faits auraient montré que la réclamation de 5 millions d'adresses était une fabrication. Comme nous l'avons signalé à l'époque, les adresses avaient été criblées d'une collection de fuites précédentes Gmail Passwords Leak en ligne, Microsoft Drops Windows Phone, Et plus ... [Tech Nouvelles Digest] Gmail mots de passe en ligne, Microsoft Drops Windows Phone, Et plus ... [Tech News Digest] Aussi, critiques négatives, Deezer aux États-Unis, Google Pyramids, NES 3DS, et une machine éclairante Rube Goldberg. Lire la suite . Les hackers russes ont été en mesure de collationner une liste plutôt que de violer la sécurité de Google.

muo-email-checker-arnaque-isleaked

Entre- temps, le site recommandé par de nombreux sites Web pour vérifier les courriels, isleaked.com, est particulièrement suspect . Curieusement enregistré juste deux jours avant la fuite, en Russie, son existence soudaine était soit extrêmement fortuit, soit planifiée.

Comme je le dis toujours, il n'y a pas de coïncidences dans la sécurité en ligne.

Après tout, quelle meilleure façon de confirmer la liste des adresses que vous prétendez avoir piratées que de demander aux propriétaires de vérifier s'ils les utilisent encore ou non? C'est le mode opératoire des spammeurs - les adresses mortes ne valent rien, c'est pourquoi de nombreux spams vous demandent de répondre. Votre réponse est enregistrée et l'adresse conservée.

Le vérificateur d'email de fuite isleaked.com pourrait facilement être une approche plus sophistiquée. Alors qu'ils prétendent:

Nous ne collectons pas vos e-mails, adresses URL / adresses IP, journaux d'accès ni résultats de vérification. Soit nous ne faisons rien de nuisible avec votre appareil pendant le test!

... il y a peu de raisons de faire confiance au site. Troy Hunt, qui a une réputation à défendre, explique comment fonctionne son site, il est donc logique de l'utiliser.

Le verdict: ne pas réagir sans les faits

Ce que nous pouvons apprendre de ceci est que personne ne devrait agir sur des réclamations de violations de données et de hacks sans posséder tous les faits. Il y a simplement trop de variables à prendre en compte.

Avec les allégations de piratage de Gmail, il semble que les pirates prétendent simplement vérifier leur collection d'adresses, vraisemblablement utilisée dans diverses campagnes de spam.

Certains étaient authentiques, d'autres ont expiré depuis longtemps.

Le meilleur site pour vérifier si votre email a été piraté et trouvé son chemin sur un site comme Pastebin.com est hasibeenpwned.com.

Ironiquement, en ce qui concerne les 5 millions d'adresses Gmail prétendument piratées par Google, c'est la presse technologique qui a été véritablement mise en avant.

Rob Hyrons via Shutterstock

In this article