19億帳戶密碼在黑市掛賣 25%仍能被用于登錄谷歌帳戶
19億帳戶密碼在黑市掛賣 25%仍能被用于登錄谷歌帳戶
谷歌(微博)和加州大學(xué)伯克利分校的研究員們?cè)谝环葑钚抡撐闹兄赋?,現(xiàn)在黑市上約有19億個(gè)帳戶密碼信息在掛售,其中有25%的帳戶密碼仍能被用于登錄谷歌帳戶。
上周末發(fā)表的這項(xiàng)研究使用了谷歌自己的、精心控制的內(nèi)部“專有數(shù)據(jù)”作為研究案例,以查看在黑客論壇和黑暗網(wǎng)絡(luò)中銷售的、被黑客入侵的密碼和其他帳戶是否仍然有效。
研究人員寫(xiě)道,事實(shí)證明在黑客論壇上交易的密碼信息仍有25%能被用來(lái)控制谷歌帳戶。
報(bào)告寫(xiě)道:“通過(guò)在數(shù)千個(gè)在線服務(wù)和特定服務(wù)中反復(fù)試用密碼,我們估計(jì)我們數(shù)據(jù)集中約有7%到25%的被盜密碼仍能讓攻擊者登錄到受害者的谷歌帳戶,進(jìn)而接管他們的在線身份?!?/p>
研究人員寫(xiě)道,黑市論壇上現(xiàn)有19億個(gè)用戶名和密碼信息在交易。
這是因?yàn)楹芏嗳嗽诓煌姆?wù)中都使用了同樣的密碼,比如他們的MySpace帳戶密碼和谷歌帳戶密碼是一樣的,當(dāng)MySpace的數(shù)據(jù)庫(kù)被黑客攻破時(shí),黑客可以簡(jiǎn)單地在谷歌上嘗試被盜的密碼,希望有些密碼也能被用來(lái)登錄谷歌帳戶。
MySpace并不是唯一一個(gè)用戶帳戶信息被攻破的大型網(wǎng)站。
密碼重用的問(wèn)題導(dǎo)致了近年來(lái)一些最引人注目的黑客事件。例如,F(xiàn)acebook首席執(zhí)行官馬克-扎克伯格(Mark Zuckerberg)將其Twitter帳戶和Pinterest帳戶的密碼都設(shè)成了“dadada”,他的這兩個(gè)帳戶在2016年曾被一個(gè)名為“OurMine”的黑客團(tuán)隊(duì)暫時(shí)接管。
據(jù)說(shuō)OurMine黑客團(tuán)隊(duì)還竊取了谷歌首席執(zhí)行官桑達(dá)爾-皮查伊(Sundar Pichai)、演員查寧-塔圖姆(Channing Tatum)和亞馬遜首席技術(shù)官沃納-威格爾(Werner Vogels)的帳戶密碼。
技術(shù)含量很低的網(wǎng)絡(luò)攻擊工具
研究人員們還研究了用于釣魚(yú)式攻擊和秘密記錄用戶鍵盤(pán)操作的特定惡意軟件。
釣魚(yú)式攻擊一般是在電子郵件中附帶虛假鏈接,這些鏈接看似指向某些正規(guī)網(wǎng)站比如雅虎或Hotmail,但它們實(shí)際指向的卻是釣魚(yú)網(wǎng)站,不知情的用戶如果登錄了這些網(wǎng)站,可能會(huì)輸入他們的密碼。研究人員寫(xiě)道,大約有1240萬(wàn)受害者因此中招。
報(bào)告稱,還有成千上萬(wàn)種“鍵盤(pán)記錄器”在受害者電腦上運(yùn)行,這些惡意軟件將用戶操作記錄下來(lái),然后發(fā)給攻擊者。比如,HawkEye和Cyborg Logger都是鍵盤(pán)記錄器。
事實(shí)證明,雖然有很多開(kāi)發(fā)人員在銷售和分發(fā)這種惡意軟件,但是實(shí)際上這些攻擊工具中的核心技術(shù)多年來(lái)從未升級(jí)。
研究人員們寫(xiě)道:“這些鍵盤(pán)記錄器和釣魚(yú)攻擊工具的功能與十幾年前相比并沒(méi)有什么不同。我們發(fā)現(xiàn),黑帽開(kāi)發(fā)人員在開(kāi)發(fā)核心技術(shù)方面毫無(wú)壓力?!?/p>
他們還說(shuō):“十年前曝光的釣魚(yú)攻擊工具使用的PHP框架和報(bào)告被盜憑證的方法跟現(xiàn)在是一樣的。”
你能做什么?
研究人員們表示,像谷歌這樣的公司和用戶們可以采取一些簡(jiǎn)單的措施來(lái)保護(hù)自己。
研究人員推薦雙重認(rèn)證,也就是說(shuō)用戶登錄帳戶時(shí)除了輸入密碼之外還需要輸入一個(gè)特殊的安全密鑰或者輸入通過(guò)一條文本信息發(fā)送的代碼,然后才能完全訪問(wèn)帳戶。
研究人員還建議用戶使用密碼管理器,為每個(gè)網(wǎng)站創(chuàng)建一個(gè)新的隨機(jī)密碼。這樣,如果一個(gè)網(wǎng)站被攻破,黑客也無(wú)法訪問(wèn)你的其他帳戶,尤其是電子郵箱帳戶。
另一個(gè)簡(jiǎn)單的做法就是不要使用不安全的密碼,尤其是最常用的密碼,比如“123456”或者“abc123”等。
研究人員指出:“對(duì)于我們數(shù)據(jù)集中的所有谷歌用戶來(lái)說(shuō),如果他們的真實(shí)身份認(rèn)證信息暴露了,我們會(huì)通過(guò)強(qiáng)制密碼重置來(lái)重新保護(hù)所有的帳戶?!?/p>
研究人員寫(xiě)道,像谷歌這樣的公司也應(yīng)該考慮鼓勵(lì)用戶遵循這些做法。
繼續(xù)閱讀與本文標(biāo)簽相同的文章