北京時間11月14日上午消息，去年的安全威脅可能主要是來自勒索軟件，但屢發的非法入侵和驗證漏洞導致幾十億密碼被泄露的事件也很難讓人忽略。谷歌和加州大學伯克利分校的研究人員試圖解決這些問題，并聯手分析操縱憑據地下市場的網絡犯罪分子是如何竊取、使用和貨幣化這些數據的。

　　通過研究自2016年3月到2017年3月的黑市活動及其對谷歌賬戶的影響，研究人員表示，他們想知道是如何靠大量的鍵盤記錄器、網絡釣魚工具和來自公開非法銷售的可用數據來記住有效的電子郵件憑證，從而得以控制用戶的在線身份。

　　在最近的計算機和通信安全會議上發表的一篇論文中，谷歌表示，7%到25%被泄露的密碼與受害者的谷歌帳戶相匹配?？偟膩碚f，谷歌和加州大學伯克利分校估計，有19億用戶名和密碼是因黑市交易中的非法入侵而被盜。另外還有1240萬釣魚工具和78.8萬商業鍵盤記錄器的受害者，形勢很是嚴峻。

　　研究人員寫道：“我們觀察到這些不良行為顯然沒有受到外部約束，自21世紀00年代中期以來，釣魚工具的手段和鍵盤記錄器的作為基本沒有發生變化?！?/p>

　　谷歌表示，在這項研究中追蹤到的黑市中，有2.5萬個攻擊工具可用于網絡釣魚和鍵盤記錄程序。盡管攻擊者密碼錯誤3次后無法再登錄谷歌帳戶，但他們并不會因此而放棄。

　　谷歌在與該報告一起發表的博客文章中表示：“由于只有密碼也并不足以讓用戶訪問谷歌帳戶，所以技術越來越強大的攻擊者也會嘗試收集我們在驗證帳戶持有人身份時可能會要求的敏感數據。 我們發現有82%的黑客釣魚工具和74%的鍵盤記錄器企圖收集用戶的IP地址和位置，還有18%的工具在收集用戶的電話號碼和設備機型及型號?！?/p>

　　谷歌表示：“通過對用戶的相對風險進行排名，我們發現網絡釣魚構成了最大的威脅，其次是鍵盤記錄器，最后是第三方泄露?！?/p>

　　網絡釣魚依然是安全領域最大的破壞行為之一，盡管已經對用戶就其入侵范例進行了十多年的宣導。

　　研究人員還寫道：“劫機者在模擬目標客戶的歷史登錄行為和設備配置文件方面也取得了不同的進步。我們發現網絡釣魚的受害者比某一谷歌用戶被成功劫持的可能性高出400倍。相比之下，數據泄露受害者被劫持的比率下降到10倍，鍵盤記錄器受害者的比率下降到40倍。這是因為釣魚工具積極地竊取風險信息來冒充受害者，83%的釣魚工具收集地理定位，18%收集電話號碼和16%收集用戶代理數據?！?/p>

　　研究人員在研究期間發現了4000多個用于主動攻擊的釣魚工具，而鍵盤記錄器只有52個，證明釣魚工具的泛濫。網絡釣魚工具是用于創建和配置在攻擊中使用的內容（包括創建電子郵件和網站）的一體化工具包。這些工具一般用來收集受害者的用戶名和密碼，還有地理位置信息等等。這些驗證信息通過SMPT、FTP轉發給攻擊者或上傳到網站。研究表示，大多數釣魚工具和鍵盤記錄器都有竊取Gmail憑據的配置，而雅虎網絡郵箱用戶卻是憑據泄露的最大受害者。雅虎曾經報道過，有30億用戶的數據已被攻擊者竊取。

　　而谷歌表示，已經使用這些數據來加強Gmail的安全性。

　　研究人員寫道：“我們的研究結果表明了地下經濟在憑據竊取方面的全球影響力，以及向用戶進行密碼管理教育和實行雙重認證作為可能解決方案的需要?！保ㄟh啟）

責任編輯：王超