谷歌(Google)和加州大學伯克利分校(UC Berkeley)的聯合研究表明,每周有25萬個Google帳戶被駭。這項研究分析了從2016年3月到2017年3月,在幾個黑市上出售的密碼和其他敏感數據。

研究結果顯示,黑客主要透過第三方外洩攻擊和網絡釣魚兩種方式竊取用戶密碼,其中又以網絡釣魚的手法最為嚴重。谷歌強調,在調查結果的幫助下,他們及時保護了6,700萬Google帳戶的個人情報避免被濫用。

用戶密碼是許多黑客爭相爭奪的寶藏,特別像是Google帳號可以同時存取Gmail、Google Docs、Google Drive等服務的資料。研究中一共記錄到了33億次第三方外洩攻擊,實際成功被盜取的成功率只有大約7%。舉例來說,如果用戶的Google帳號跟MySpace帳號使用同一組相同密碼,當MySpace被黑客攻破時Google帳號也就會很危險,黑客只要使用在MySpace上被攻破的密碼不斷嘗試,就有可能會找到漏洞。

研究者跟蹤了各種黑市交易的密碼,以及2萬5千種用於網絡釣魚或鍵盤記錄的黑客工具。一年間研究人員發現,通過鍵盤記錄程序竊取了78萬8千個密碼,通過網絡釣魚竊取了1,200萬個密碼,以及第三方洩露了33億個密碼。

但光是取得密碼並不能完整獲取用戶所有資料,還必須搭配其他認證資訊,研究人員發現,有82%的釣魚工具及74%的鍵盤記錄工具,會設法蒐集用戶IP位址及位置。

谷歌在自己的官方網誌裏貼文稱,「在第三方洩露數據洩露中,12%的暴露紀錄包括一個Gmail的用戶名和密碼。這些密碼中,有7%是有效的,因為被重複使用。而網絡釣魚和鍵盤記錄,黑客經常以Google帳戶為目標,成功率大約是12%~25%。」

典型的網絡釣魚手法,黑客會在e-mail中夾帶假的連結。如果用戶點擊了這個偽裝連結,就會在沒有警覺的情況下,在假的網站上輸入自己的密碼,從而用戶資料被盜。

對於如何保護自己的密碼被盜,Google安全研究人員提出了四個自保方法供用戶參考。

1、不使用簡單或雷同密碼:Google建議用戶不要使用過於簡單的密碼,以及不要使用相同密碼在不同網站上。

2、啟用手機短信驗證:可透過手機接收認證碼來保護帳號。

3、善用密碼管理軟件:針對不同網站隨機產生密碼,因此當其中一個帳號被攻破時,黑客就沒辦法如法炮製攻破其他帳號服務。

4、填寫安全設定檢查:檢視自身帳號的安全性。◇