新浪科技讯 北京时间11月14日上午消息,去年的安全威胁可能主要是来自勒索软件,但屡发的非法入侵和验证漏洞导致几十亿密码被泄露的事件也很难让人忽略。
谷歌和加州大学伯克利分校的研究人员试图解决这些问题,并联手分析操纵凭据地下市场的网络犯罪分子是如何窃取、使用和货币化这些数据的。
通过研究自2016年3月到2017年3月的黑市活动及其对谷歌账户的影响,研究人员表示,他们想知道是如何靠大量的键盘记录器、网络钓鱼工具和来自公开非法销售的可用数据来记住有效的电子邮件凭证,从而得以控制用户的在线身份。
在最近的计算机和通信安全会议上发表的一篇论文中,谷歌表示,7%到25%被泄露的密码与受害者的谷歌帐户相匹配。总的来说,谷歌和加州大学伯克利分校估计,有19亿用户名和密码是因黑市交易中的非法入侵而被盗。另外还有1240万钓鱼工具和78.8万商业键盘记录器的受害者,形势很是严峻。
研究人员写道:“我们观察到这些不良行为显然没有受到外部约束,自21世纪00年代中期以来,钓鱼工具的手段和键盘记录器的作为基本没有发生变化。”
谷歌表示,在这项研究中追踪到的黑市中,有2.5万个攻击工具可用于网络钓鱼和键盘记录程序。尽管攻击者密码错误3次后无法再登录谷歌帐户,但他们并不会因此而放弃。
谷歌在与该报告一起发表的博客文章中表示:“由于只有密码也并不足以让用户访问谷歌帐户,所以技术越来越强大的攻击者也会尝试收集我们在验证帐户持有人身份时可能会要求的敏感数据。 我们发现有82%的黑客钓鱼工具和74%的键盘记录器企图收集用户的IP地址和位置,还有18%的工具在收集用户的电话号码和设备机型及型号。”
谷歌表示:“通过对用户的相对风险进行排名,我们发现网络钓鱼构成了最大的威胁,其次是键盘记录器,最后是第三方泄露。”
网络钓鱼依然是安全领域最大的破坏行为之一,尽管已经对用户就其入侵范例进行了十多年的宣导。
研究人员还写道:“劫机者在模拟目标客户的历史登录行为和设备配置文件方面也取得了不同的进步。我们发现网络钓鱼的受害者比某一谷歌用户被成功劫持的可能性高出400倍。相比之下,数据泄露受害者被劫持的比率下降到10倍,键盘记录器受害者的比率下降到40倍。这是因为钓鱼工具积极地窃取风险信息来冒充受害者,83%的钓鱼工具收集地理定位,18%收集电话号码和16%收集用户代理数据。”
研究人员在研究期间发现了4000多个用于主动攻击的钓鱼工具,而键盘记录器只有52个,证明钓鱼工具的泛滥。网络钓鱼工具是用于创建和配置在攻击中使用的内容(包括创建电子邮件和网站)的一体化工具包。这些工具一般用来收集受害者的用户名和密码,还有地理位置信息等等。这些验证信息通过SMPT、FTP转发给攻击者或上传到网站。研究表示,大多数钓鱼工具和键盘记录器都有窃取Gmail凭据的配置,而雅虎网络邮箱用户却是凭据泄露的最大受害者。雅虎曾经报道过,有30亿用户的数据已被攻击者窃取。
而谷歌表示,已经使用这些数据来加强Gmail的安全性。
研究人员写道:“我们的研究结果表明了地下经济在凭据窃取方面的全球影响力,以及向用户进行密码管理教育和实行双重认证作为可能解决方案的需要。”