新浪科技訊 北京時間 11 月 14 日上午消息,去年的安全威脅可能主要是來自勒索軟件,但屢發的非法入侵和驗證漏洞導致幾十億密碼被泄露的事件也很難讓人忽略。
谷歌和加州大學伯克利分校的研究人員試圖解決這些問題,並聯手分析操縱憑據地下市場的網絡犯罪分子是如何竊取、使用和貨幣化這些數據的。
通過研究自 2016 年 3 月到 2017 年 3 月的黑市活動及其對谷歌賬戶的影響,研究人員表示,他們想知道是如何靠大量的鍵盤記錄器、網絡釣魚工具和來自公開非法銷售的可用數據來記住有效的電子郵件憑證,從而得以控制用戶的在線身份。
在最近的計算機和通信安全會議上發表的一篇論文中,谷歌表示,7% 到 25% 被泄露的密碼與受害者的谷歌帳戶相匹配。總的來說,谷歌和加州大學伯克利分校估計,有 19 億用戶名和密碼是因黑市交易中的非法入侵而被盜。另外還有 1240 萬釣魚工具和 78.8 萬商業鍵盤記錄器的受害者,形勢很是嚴峻。
研究人員寫道:" 我們觀察到這些不良行為顯然沒有受到外部約束,自 21 世紀 00 年代中期以來,釣魚工具的手段和鍵盤記錄器的作為基本沒有發生變化。"
谷歌表示,在這項研究中追蹤到的黑市中,有 2.5 萬個攻擊工具可用於網絡釣魚和鍵盤記錄程序。盡管攻擊者密碼錯誤 3 次後無法再登錄谷歌帳戶,但他們並不會因此而放棄。
谷歌在與該報告一起發表的博客文章中表示:" 由於隻有密碼也並不足以讓用戶訪問谷歌帳戶,所以技術越來越強大的攻擊者也會嘗試收集我們在驗證帳戶持有人身份時可能會要求的敏感數據。 我們發現有 82% 的黑客釣魚工具和 74% 的鍵盤記錄器企圖收集用戶的 IP 地址和位置,還有 18% 的工具在收集用戶的電話號碼和設備機型及型號。"
谷歌表示:" 通過對用戶的相對風險進行排名,我們發現網絡釣魚構成瞭最大的威脅,其次是鍵盤記錄器,最後是第三方泄露。"
網絡釣魚依然是安全領域最大的破壞行為之一,盡管已經對用戶就其入侵范例進行瞭十多年的宣導。
研究人員還寫道:" 劫機者在模擬目標客戶的歷史登錄行為和設備配置文件方面也取得瞭不同的進步。我們發現網絡釣魚的受害者比某一谷歌用戶被成功劫持的可能性高出 400 倍。相比之下,數據泄露受害者被劫持的比率下降到 10 倍,鍵盤記錄器受害者的比率下降到 40 倍。這是因為釣魚工具積極地竊取風險信息來冒充受害者,83% 的釣魚工具收集地理定位,18% 收集電話號碼和 16% 收集用戶代理數據。"
研究人員在研究期間發現瞭 4000 多個用於主動攻擊的釣魚工具,而鍵盤記錄器隻有 52 個,證明釣魚工具的泛濫。網絡釣魚工具是用於創建和配置在攻擊中使用的內容(包括創建電子郵件和網站)的一體化工具包。這些工具一般用來收集受害者的用戶名和密碼,還有地理位置信息等等。這些驗證信息通過 SMPT、FTP 轉發給攻擊者或上傳到網站。研究表示,大多數釣魚工具和鍵盤記錄器都有竊取 Gmail 憑據的配置,而雅虎網絡郵箱用戶卻是憑據泄露的最大受害者。雅虎曾經報道過,有 30 億用戶的數據已被攻擊者竊取。
而谷歌表示,已經使用這些數據來加強 Gmail 的安全性。
研究人員寫道:" 我們的研究結果表明瞭地下經濟在憑據竊取方面的全球影響力,以及向用戶進行密碼管理教育和實行雙重認證作為可能解決方案的需要。"(遠啟)
