谷歌和加州大學(xué)伯克利分校的研究員們在一份最新論文中指出,現(xiàn)在黑市上約有19億個帳戶密碼信息在掛售,其中有25%的帳戶密碼仍能被用于登錄谷歌帳戶。
上周末發(fā)表的這項研究使用了谷歌自己的、精心控制的內(nèi)部“專有數(shù)據(jù)”作為研究案例,以查看在黑客論壇和黑暗網(wǎng)絡(luò)中銷售的、被黑客入侵的密碼和其他帳戶是否仍然有效。
研究人員寫道,事實證明在黑客論壇上交易的密碼信息仍有25%能被用來控制谷歌帳戶。
報告寫道:“通過在數(shù)千個在線服務(wù)和特定服務(wù)中反復(fù)試用密碼,我們估計我們數(shù)據(jù)集中約有7%到25%的被盜密碼仍能讓攻擊者登錄到受害者的谷歌帳戶,進而接管他們的在線身份。”
研究人員寫道,黑市論壇上現(xiàn)有19億個用戶名和密碼信息在交易。
這是因為很多人在不同的服務(wù)中都使用了同樣的密碼,比如他們的MySpace帳戶密碼和谷歌帳戶密碼是一樣的,當MySpace的數(shù)據(jù)庫被黑客攻破時,黑客可以簡單地在谷歌上嘗試被盜的密碼,希望有些密碼也能被用來登錄谷歌帳戶。
MySpace并不是唯一一個用戶帳戶信息被攻破的大型網(wǎng)站。
密碼重用的問題導(dǎo)致了近年來一些最引人注目的黑客事件。例如,F(xiàn)acebook首席執(zhí)行官馬克-扎克伯格(Mark Zuckerberg)將其Twitter帳戶和Pinterest帳戶的密碼都設(shè)成了“dadada”,他的這兩個帳戶在2016年曾被一個名為“OurMine”的黑客團隊暫時接管。
據(jù)說OurMine黑客團隊還竊取了谷歌首席執(zhí)行官桑達爾-皮查伊(Sundar Pichai)、演員查寧-塔圖姆(Channing Tatum)和亞馬遜首席技術(shù)官沃納-威格爾(Werner Vogels)的帳戶密碼。
技術(shù)含量很低的網(wǎng)絡(luò)攻擊工具
研究人員們還研究了用于釣魚式攻擊和秘密記錄用戶鍵盤操作的特定惡意軟件。
釣魚式攻擊一般是在電子郵件中附帶虛假鏈接,這些鏈接看似指向某些正規(guī)網(wǎng)站比如雅虎或Hotmail,但它們實際指向的卻是釣魚網(wǎng)站,不知情的用戶如果登錄了這些網(wǎng)站,可能會輸入他們的密碼。研究人員寫道,大約有1240萬受害者因此中招。
報告稱,還有成千上萬種“鍵盤記錄器”在受害者電腦上運行,這些惡意軟件將用戶操作記錄下來,然后發(fā)給攻擊者。比如,HawkEye和Cyborg Logger都是鍵盤記錄器。
事實證明,雖然有很多開發(fā)人員在銷售和分發(fā)這種惡意軟件,但是實際上這些攻擊工具中的核心技術(shù)多年來從未升級。
研究人員們寫道:“這些鍵盤記錄器和釣魚攻擊工具的功能與十幾年前相比并沒有什么不同。我們發(fā)現(xiàn),黑帽開發(fā)人員在開發(fā)核心技術(shù)方面毫無壓力。”
他們還說:“十年前曝光的釣魚攻擊工具使用的PHP框架和報告被盜憑證的方法跟現(xiàn)在是一樣的。”
你能做什么?
研究人員們表示,像谷歌這樣的公司和用戶們可以采取一些簡單的措施來保護自己。
研究人員推薦雙重認證,也就是說用戶登錄帳戶時除了輸入密碼之外還需要輸入一個特殊的安全密鑰或者輸入通過一條文本信息發(fā)送的代碼,然后才能完全訪問帳戶。
研究人員還建議用戶使用密碼管理器,為每個網(wǎng)站創(chuàng)建一個新的隨機密碼。這樣,如果一個網(wǎng)站被攻破,黑客也無法訪問你的其他帳戶,尤其是電子郵箱帳戶。
另一個簡單的做法就是不要使用不安全的密碼,尤其是最常用的密碼,比如“123456”或者“abc123”等。
研究人員指出:“對于我們數(shù)據(jù)集中的所有谷歌用戶來說,如果他們的真實身份認證信息暴露了,我們會通過強制密碼重置來重新保護所有的帳戶。”
研究人員寫道,像谷歌這樣的公司也應(yīng)該考慮鼓勵用戶遵循這些做法。