研究：19億賬戶被盜 25%仍可登入谷歌賬戶

北京時間11月14日上午訊息，去年的安全威脅可能主要是來自勒索軟體，但屢發的非法入侵和驗證漏洞導致幾十億密碼被洩露的事件也很難讓人忽略。

谷歌和加州大學伯克利分校的研究人員試圖解決這些問題，並聯手分析操縱憑據地下市場的網路犯罪分子是如何竊取、使用和貨幣化這些資料的。

透過研究自2016年3月到2017年3月的黑市活動及其對谷歌賬戶的影響，研究人員表示，他們想知道是如何靠大量的鍵盤記錄器、網路釣魚工具和來自公開非法銷售的可用資料來記住有效的電子郵件憑證，從而得以控制使用者的線上身份。

在最近的計算機和通訊安全會議上發表的一篇論文中，谷歌表示，7%到25%被洩露的密碼與受害者的谷歌帳戶相匹配。總的來說，谷歌和加州大學伯克利分校估計，有19億使用者名稱和密碼是因黑市交易中的非法入侵而被盜。另外還有1240萬釣魚工具和78。8萬商業鍵盤記錄器的受害者，形勢很是嚴峻。

研究人員寫道：“我們觀察到這些不良行為顯然沒有受到外部約束，自21世紀00年代中期以來，釣魚工具的手段和鍵盤記錄器的作為基本沒有發生變化。”

谷歌表示，在這項研究中追蹤到的黑市中，有2。5萬個攻擊工具可用於網路釣魚和鍵盤記錄程式。儘管攻擊者密碼錯誤3次後無法再登入谷歌帳戶，但他們並不會因此而放棄。

谷歌在與該報告一起發表的部落格文章中表示：“由於只有密碼也並不足以讓使用者訪問谷歌帳戶，所以技術越來越強大的攻擊者也會嘗試收集我們在驗證帳戶持有人身份時可能會要求的敏感資料。 我們發現有82%的駭客釣魚工具和74%的鍵盤記錄器企圖收集使用者的IP地址和位置，還有18%的工具在收集使用者的電話號碼和裝置機型及型號。”

谷歌表示：“透過對使用者的相對風險進行排名，我們發現網路釣魚構成了最大的威脅，其次是鍵盤記錄器，最後是第三方洩露。”

網路釣魚依然是安全領域最大的破壞行為之一，儘管已經對使用者就其入侵範例進行了十多年的宣導。

研究人員還寫道：“劫機者在模擬目標客戶的歷史登入行為和裝置配置檔案方面也取得了不同的進步。我們發現網路釣魚的受害者比某一谷歌使用者被成功劫持的可能性高出400倍。相比之下，資料洩露受害者被劫持的比率下降到10倍，鍵盤記錄器受害者的比率下降到40倍。這是因為釣魚工具積極地竊取風險資訊來冒充受害者，83%的釣魚工具收集地理定位，18%收集電話號碼和16%收集使用者代理資料。”

研究人員在研究期間發現了4000多個用於主動攻擊的釣魚工具，而鍵盤記錄器只有52個，證明釣魚工具的泛濫。網路釣魚工具是用於建立和配置在攻擊中使用的內容（包括建立電子郵件和網站）的一體化工具包。這些工具一般用來收集受害者的使用者名稱和密碼，還有地理位置資訊等等。這些驗證資訊透過SMPT、FTP轉發給攻擊者或上傳到網站。研究表示，大多數釣魚工具和鍵盤記錄器都有竊取Gmail憑據的配置，而雅虎網路郵箱使用者卻是憑據洩露的最大受害者。雅虎曾經報道過，有30億使用者的資料已被攻擊者竊取。

而谷歌表示，已經使用這些資料來加強Gmail的安全性。

研究人員寫道：“我們的研究結果表明了地下經濟在憑據竊取方面的全球影響力，以及向用戶進行密碼管理教育和實行雙重認證作為可能解決方案的需要。”