Ik noem ze liever "aanvallen om online wachtwoorden te raden", aangezien "brute kracht" een specifieke betekenis heeft die niet altijd van toepassing is op deze aanvallen. Maar ja, ze gebeuren nog steeds en hier zijn een paar voorbeeldstatistieken voor u:

Microsoft: "we detecteren elke dag meer dan 10 miljoen aanmeldingsaanvallen op onze identiteitssystemen."

Akamai: ze merkten op "999.980 IP's waren betrokken bij de aanvallen op de inlogpagina van de klant van [een financiële instelling]." In een week tijd werden 427 miljoen rekeningen gecontroleerd. Ook zagen 817.390 IP's 388 miljoen inlogpogingen met 65 miljoen e-mailadressen tegen een klant uit de entertainmentindustrie. Door de bron-IP's van beide aanvallen te vergelijken, vonden ze 70% overeenkomst, wat suggereert dat dezelfde organisatie verantwoordelijk was voor beide aanvallen, of dat ze hetzelfde botnet gebruikten.

Google: "Wij ' Ik heb een enkele aanvaller gezien die gestolen wachtwoorden gebruikte om elke dag, weken achtereen, in te breken in een miljoen verschillende Google-accounts. Een andere bende probeerde in te loggen met een snelheid van meer dan 100 accounts per seconde. " Dit werd gemeld in 2013, maar ik weet zeker dat ze nog steeds met soortgelijke aanvallen worden geconfronteerd.

Taobao: Taobao werd in oktober 2015 gedurende een paar dagen aangevallen via een online gokaanval. aanvallers gebruikten 99 miljoen inloggegevens die waren verzameld van andere sites. 20,5 miljoen inloggegevens kwamen overeen met Taobao-accounts, wat ongeveer 1 op de 20 van hun totale jaarlijkse actieve kopers was. Pas in november werd ontdekt, maar Alibaba zegt dat hun beveiligingssystemen destijds de overgrote meerderheid van de inlogpogingen ontdekten en blokkeerden. Het resulteerde nog steeds in ongeveer $ 1 miljoen aan fraudetransacties op hun site.

In deze gevallen hebben deze sites mogelijk snelheidsbeperkende of andere adaptieve authenticatiecontroles, maar ze zijn niet 100% effectief in het voorkomen van elke accountovername pogingen.

Anekdotisch wel. WordPress-sites zijn voortdurend onderhevig aan regelrechte aanvallen om wachtwoorden te raden. WordPress staat standaard het opsommen van gebruikersnamen toe, en er lijken een paar mensen te zijn die echte gebruikersnamen gebruiken om alleen het wachtwoord te raden, maar het merendeel van de aanvallen raadt zowel gebruikersnamen als wachtwoorden.

Ik runde een paar jaar een WordPress-honingpot en ik zag veel aanvallen om wachtwoorden te raden. De meeste waren afkomstig van een enkel IP-adres, maar een paar waren van 50-60 IP-adressen. Ik heb maar liefst 280.000 keer per dag geraden.

Ik ken geen publicaties of zelfs geen pogingen om uitgebreide statistieken te maken, dus ik heb alleen anekdotes.

Captchas binnenvaart het huis om de dag te redden. Niet alleen captcha's eigenlijk. Ik probeerde ooit een eenvoudige Gmail-pda (Python Dictionary Attacker) te maken. Het leest in feite elke regel uit een woordenboekbestand en probeert alle woorden voor de ingevoerde e-mail.

Maar ik kon het niet doen omdat Gmail deze nieuwe functie heeft, een gebruikersinstelling, die het ontvangen of zelfs authenticatie van een "niet-moderne e-mailservice". En het is standaard ingeschakeld. Bekijk dit voor meer: ​​ https://support.google.com/accounts/answer/6010255?hl=nl

Maar dat betekent niet dat het niet mogelijk is. Het is. Natuurlijk zijn ze misschien niet "het ding", maar ze zijn beslist "een ding". Er zijn veel jonge aspirant-IT-enthousiastelingen die hun talenten nog moeten onthullen. Een van hen is misschien degene die een slimmere en nauwkeurigere manier vindt om deze captcha's te omzeilen. Een van hen zou zelfs degene kunnen zijn die het onkraakbare hackt. En de meesten van hen hebben als doel een witte hoed, of in ieder geval grijs, en ze willen gewoon dat je je een stuk zekerder voelt, dus vrolijk op.