網路帳號被駭的威脅不曾少過,尤其像Google這樣擁有龐大用戶數的公司,更容易成為駭客目標,因此Google研究人員與柏克萊大學網路安全專家合作,花了一整年的時間追蹤駭客如何竊取密碼,以及分析如何將這些資訊暴露到網路黑市中。
研究結果顯示,駭客主要透過第三方外洩攻擊、網路釣魚兩種方式竊取用戶密碼,其中又以網路釣魚的手法最為嚴重,當密碼不再是絕對安全的保障,究竟一般用戶有什麼方式可以自保呢?
第三方外洩攻擊共測得33億次,但實際成功率僅7%
Google與柏克萊大學以Google 帳號作為評斷標準,在為期一年的研究中,發現第三方外洩攻擊、網路釣魚為兩大主要威脅。
用戶密碼是許多駭客爭相爭奪的寶藏,特別像是Google帳號可以同時存取Gmail、Google Docs、Google Drive等服務的資料,研究中一共記錄到了33億次第三方外洩攻擊,實際成功被盜取的成功率只有大約7%,舉例來說,如果用戶的Google帳號跟MySpace帳號使用同一組相同密碼,當MySpace被駭客攻破時Google帳號也就會很危險,駭客只要使用在MySpace上被攻破的密碼不斷嘗試,就有可能會找到漏洞。
但光是取得密碼並不能完整獲取用戶所有資料,還必須搭配其他認證資訊,研究人員發現,有82%的釣魚工具及74%的鍵盤側錄工具,會設法蒐集用戶IP位址及位置。
網路釣魚共測得1240萬次攻擊,成功率達25%
另一種手法是透過網路釣魚手法取得密碼,駭客會在e-mail中夾帶假的連結,如此一來用戶就會在沒有警覺的情況下,在假的網站上輸入自己的密碼,在一年的研究中共測得1240萬次網路釣魚攻擊,成功率是12%~25%。
「密碼就像是一把進入王國的鑰匙。」Google 研究員 Kurt Thomas說:「帳號資訊對駭客來說極具價值,他們無所不用其極要盜取你的帳號。」
儘管這份研究顯示被盜取的帳密數量很龐大,但需要注意的是,研究人員取得的資料仍然受限,因此實際的數字有可能更高。
提升資安意識,Google列出4種自保方法
Google安全研究人員指出,駭客要攻破現在的資安防護機制,竊取用戶資料已經越來越不容易,但仍必須時時提高自我保護意識,並提出了四個自保方法供用戶參考。
不使用同一組密碼 :Google建議用戶不要使用過於簡單的密碼,以及不要使用相同密碼在不同網站上。
啟用兩階段驗證 :可透過手機接收認證碼來保護帳號。
善用密碼管理員 :針對不同網站隨機產生密碼,因此當其中一個帳號被攻破時,駭客就沒辦法如法炮製攻破其他帳號服務。
填寫 安全設定檢查:檢視自身帳號的安全性。
雖然有些方式,已經是老生常談,不過Google 研究員 Kurt Thomas叮嚀「密碼已經不再是可以完全信賴的模範。」
