釣魚(yú)網(wǎng)站是黑客盜取網(wǎng)民賬號(hào)密碼的一種常見(jiàn)方式，不良之徒通過(guò)垃圾郵件，誘使網(wǎng)民訪問(wèn)“李鬼網(wǎng)站”，并主動(dòng)填寫(xiě)賬號(hào)和密碼。最近，谷歌公司的一個(gè)研究顯示，釣魚(yú)網(wǎng)站的成功率，超出了一般人想象，“最優(yōu)秀”的釣魚(yú)網(wǎng)站能夠讓一半的訪客上鉤受騙。

這一研究由谷歌和加州大學(xué)圣迭戈分校共同進(jìn)行。研究結(jié)果本周對(duì)外公布。

釣魚(yú)網(wǎng)站模仿的對(duì)象包括谷歌這樣的知名網(wǎng)站，研究顯示，14%的釣魚(yú)網(wǎng)站訪問(wèn)者，會(huì)將賬號(hào)等機(jī)密信息泄露給黑客?？傮w而言，網(wǎng)民中招的概率超出預(yù)期。

在這項(xiàng)研究中，谷歌和加州大學(xué)調(diào)查了Gmail中隨機(jī)抽取的100封“釣魚(yú)電子郵件”以及網(wǎng)民對(duì)其的反應(yīng)。另外，研究人員同時(shí)從100個(gè)釣魚(yú)網(wǎng)站獲取了數(shù)據(jù)。據(jù)報(bào)道，這些釣魚(yú)網(wǎng)站通過(guò)谷歌的“安全瀏覽系統(tǒng)”被攔截，另外由于樣本中的釣魚(yú)網(wǎng)站采用了谷歌的網(wǎng)絡(luò)表格工具，因此研究人員可以獲得用戶的填表數(shù)據(jù)。

這樣，研究人員可以觀察到網(wǎng)民從閱讀“釣魚(yú)郵件”到訪問(wèn)釣魚(yú)網(wǎng)站的一系列反應(yīng)。統(tǒng)計(jì)顯示，即使是設(shè)計(jì)最糟糕的釣魚(yú)網(wǎng)站，大約有3%的網(wǎng)民，主動(dòng)交出了賬號(hào)密碼。在“最成功”的釣魚(yú)網(wǎng)站中，45%的訪問(wèn)者中招。

在研究報(bào)告中，谷歌表示每一個(gè)黑客會(huì)發(fā)送幾百萬(wàn)封電子郵件，引誘網(wǎng)民訪問(wèn)釣魚(yú)網(wǎng)站，因此根據(jù)上述的成功率，這些黑客將會(huì)獲得海量的網(wǎng)民賬號(hào)密碼，堪稱一筆“大生意”。

釣魚(yú)網(wǎng)站攻擊者的成果，是大量用戶的賬號(hào)和密碼。上述研究顯示，在獲得賬號(hào)后，攻擊者在每個(gè)賬號(hào)上會(huì)花費(fèi)三分鐘的時(shí)間，來(lái)決定該賬號(hào)是否有價(jià)值進(jìn)行進(jìn)一步的“挖掘”和詐騙。

如果黑客獲取的是Gmail郵箱賬號(hào)，他們會(huì)利用電子郵件搜索功能，專門(mén)搜索“轉(zhuǎn)賬”和“銀行”等關(guān)鍵字，尋找進(jìn)行盜取資金的機(jī)會(huì)。

在獲得了網(wǎng)民的好友列表之后，這些不良之徒的欺詐手段實(shí)際上算不上新鮮。他們會(huì)以被攻擊者的身份，給對(duì)方的親朋好友發(fā)送郵件，編造謊言博取同情或是希望對(duì)方轉(zhuǎn)賬匯款，這些謊言包括“昨天晚上我們?cè)谝粋€(gè)巷子里被搶劫了”。

對(duì)于釣魚(yú)網(wǎng)站的攻擊，谷歌也提供了一個(gè)安全建議。最好的方式就是在Gmail等服務(wù)中啟用兩步驗(yàn)證，即除了賬號(hào)密碼之外再提供短信驗(yàn)證碼等第二個(gè)手段。

谷歌表示，如果收到了可疑的郵件，用戶應(yīng)該及時(shí)報(bào)告給郵件服務(wù)商，而不是選擇回復(fù)郵件。另外，如果好友告知最近收到了奇怪內(nèi)容的郵件，則用戶的郵箱可能已經(jīng)被黑客盜取，網(wǎng)民應(yīng)該盡早采取措施重新獲得郵箱控制權(quán)。

這項(xiàng)研究發(fā)現(xiàn)，兩成的釣魚(yú)時(shí)攻擊者，會(huì)在獲得用戶密碼半小時(shí)之內(nèi)進(jìn)入對(duì)方郵箱進(jìn)行“探索”，搜尋可乘之機(jī)。

在過(guò)去一年中，美國(guó)零售、金融等行業(yè)遭遇多次嚴(yán)重的黑客攻擊，包括電子郵箱、地址在內(nèi)的個(gè)人隱私信息被盜取。比如摩根大通銀行報(bào)告稱，今年夏天遭遇黑客攻擊，導(dǎo)致7600萬(wàn)家庭和700萬(wàn)中小企業(yè)的聯(lián)系信息被盜。對(duì)于郵箱賬號(hào)被盜的用戶，以上谷歌有關(guān)郵箱攻擊的的安全建議將大有裨益。