19億帳戶密碼在黑市掛賣 25%仍能被用于登錄谷歌帳戶

谷歌(微博)和加州大學(xué)伯克利分校的研究員們?cè)谝环葑钚抡撐闹兄赋?，現(xiàn)在黑市上約有19億個(gè)帳戶密碼信息在掛售，其中有25%的帳戶密碼仍能被用于登錄谷歌帳戶。

上周末發(fā)表的這項(xiàng)研究使用了谷歌自己的、精心控制的內(nèi)部“專有數(shù)據(jù)”作為研究案例，以查看在黑客論壇和黑暗網(wǎng)絡(luò)中銷售的、被黑客入侵的密碼和其他帳戶是否仍然有效。

研究人員寫(xiě)道，事實(shí)證明在黑客論壇上交易的密碼信息仍有25%能被用來(lái)控制谷歌帳戶。

報(bào)告寫(xiě)道：“通過(guò)在數(shù)千個(gè)在線服務(wù)和特定服務(wù)中反復(fù)試用密碼，我們估計(jì)我們數(shù)據(jù)集中約有7%到25%的被盜密碼仍能讓攻擊者登錄到受害者的谷歌帳戶，進(jìn)而接管他們的在線身份。”

研究人員寫(xiě)道，黑市論壇上現(xiàn)有19億個(gè)用戶名和密碼信息在交易。

這是因?yàn)楹芏嗳嗽诓煌姆?wù)中都使用了同樣的密碼，比如他們的MySpace帳戶密碼和谷歌帳戶密碼是一樣的，當(dāng)MySpace的數(shù)據(jù)庫(kù)被黑客攻破時(shí)，黑客可以簡(jiǎn)單地在谷歌上嘗試被盜的密碼，希望有些密碼也能被用來(lái)登錄谷歌帳戶。

MySpace并不是唯一一個(gè)用戶帳戶信息被攻破的大型網(wǎng)站。

密碼重用的問(wèn)題導(dǎo)致了近年來(lái)一些最引人注目的黑客事件。例如，F(xiàn)acebook首席執(zhí)行官馬克-扎克伯格（Mark Zuckerberg）將其Twitter帳戶和Pinterest帳戶的密碼都設(shè)成了“dadada”，他的這兩個(gè)帳戶在2016年曾被一個(gè)名為“OurMine”的黑客團(tuán)隊(duì)暫時(shí)接管。

據(jù)說(shuō)OurMine黑客團(tuán)隊(duì)還竊取了谷歌首席執(zhí)行官桑達(dá)爾-皮查伊（Sundar Pichai）、演員查寧-塔圖姆（Channing Tatum）和亞馬遜首席技術(shù)官沃納-威格爾（Werner Vogels）的帳戶密碼。

技術(shù)含量很低的網(wǎng)絡(luò)攻擊工具

研究人員們還研究了用于釣魚(yú)式攻擊和秘密記錄用戶鍵盤(pán)操作的特定惡意軟件。

釣魚(yú)式攻擊一般是在電子郵件中附帶虛假鏈接，這些鏈接看似指向某些正規(guī)網(wǎng)站比如雅虎或Hotmail，但它們實(shí)際指向的卻是釣魚(yú)網(wǎng)站，不知情的用戶如果登錄了這些網(wǎng)站，可能會(huì)輸入他們的密碼。研究人員寫(xiě)道，大約有1240萬(wàn)受害者因此中招。

報(bào)告稱，還有成千上萬(wàn)種“鍵盤(pán)記錄器”在受害者電腦上運(yùn)行，這些惡意軟件將用戶操作記錄下來(lái)，然后發(fā)給攻擊者。比如，HawkEye和Cyborg Logger都是鍵盤(pán)記錄器。

事實(shí)證明，雖然有很多開(kāi)發(fā)人員在銷售和分發(fā)這種惡意軟件，但是實(shí)際上這些攻擊工具中的核心技術(shù)多年來(lái)從未升級(jí)。

研究人員們寫(xiě)道：“這些鍵盤(pán)記錄器和釣魚(yú)攻擊工具的功能與十幾年前相比并沒(méi)有什么不同。我們發(fā)現(xiàn)，黑帽開(kāi)發(fā)人員在開(kāi)發(fā)核心技術(shù)方面毫無(wú)壓力?！?/p>

他們還說(shuō)：“十年前曝光的釣魚(yú)攻擊工具使用的PHP框架和報(bào)告被盜憑證的方法跟現(xiàn)在是一樣的?！?/p>

你能做什么？

研究人員們表示，像谷歌這樣的公司和用戶們可以采取一些簡(jiǎn)單的措施來(lái)保護(hù)自己。

研究人員推薦雙重認(rèn)證，也就是說(shuō)用戶登錄帳戶時(shí)除了輸入密碼之外還需要輸入一個(gè)特殊的安全密鑰或者輸入通過(guò)一條文本信息發(fā)送的代碼，然后才能完全訪問(wèn)帳戶。

研究人員還建議用戶使用密碼管理器，為每個(gè)網(wǎng)站創(chuàng)建一個(gè)新的隨機(jī)密碼。這樣，如果一個(gè)網(wǎng)站被攻破，黑客也無(wú)法訪問(wèn)你的其他帳戶，尤其是電子郵箱帳戶。

另一個(gè)簡(jiǎn)單的做法就是不要使用不安全的密碼，尤其是最常用的密碼，比如“123456”或者“abc123”等。

研究人員指出：“對(duì)于我們數(shù)據(jù)集中的所有谷歌用戶來(lái)說(shuō)，如果他們的真實(shí)身份認(rèn)證信息暴露了，我們會(huì)通過(guò)強(qiáng)制密碼重置來(lái)重新保護(hù)所有的帳戶?！?/p>

研究人員寫(xiě)道，像谷歌這樣的公司也應(yīng)該考慮鼓勵(lì)用戶遵循這些做法。