上周末发表的这项研究使用了谷歌自己的、精心控制的内部“专有数据”作为研究案例,以查看在黑客论坛和黑暗网络中销售的、被黑客入侵的密码和其他帐户是否仍然有效。
研究人员写道,事实证明在黑客论坛上交易的密码信息仍有25%能被用来控制谷歌帐户。
报告写道:“通过在数千个在线服务和特定服务中反复试用密码,我们估计我们数据集中约有7%到25%的被盗密码仍能让攻击者登录到受害者的谷歌帐户,进而接管他们的在线身份。”
研究人员写道,黑市论坛上现有19亿个用户名和密码信息在交易。
这是因为很多人在不同的服务中都使用了同样的密码,比如他们的MySpace帐户密码和谷歌帐户密码是一样的,当MySpace的数据库被黑客攻破时,黑客可以简单地在谷歌上尝试被盗的密码,希望有些密码也能被用来登录谷歌帐户。
MySpace并不是唯一一个用户帐户信息被攻破的大型网站。
密码重用的问题导致了近年来一些最引人注目的黑客事件。例如,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)将其Twitter帐户和Pinterest帐户的密码都设成了“dadada”,他的这两个帐户在2016年曾被一个名为“OurMine”的黑客团队暂时接管。
据说OurMine黑客团队还窃取了谷歌首席执行官桑达尔-皮查伊(Sundar Pichai)、演员查宁-塔图姆(Channing Tatum)和亚马逊首席技术官沃纳-威格尔(Werner Vogels)的帐户密码。
技术含量很低的网络攻击工具
研究人员们还研究了用于钓鱼式攻击和秘密记录用户键盘操作的特定恶意软件。
钓鱼式攻击一般是在电子邮件中附带虚假链接,这些链接看似指向某些正规网站比如雅虎或Hotmail,但它们实际指向的却是钓鱼网站,不知情的用户如果登录了这些网站,可能会输入他们的密码。研究人员写道,大约有1240万受害者因此中招。
报告称,还有成千上万种“键盘记录器”在受害者电脑上运行,这些恶意软件将用户操作记录下来,然后发给攻击者。比如,HawkEye和Cyborg Logger都是键盘记录器。
事实证明,虽然有很多开发人员在销售和分发这种恶意软件,但是实际上这些攻击工具中的核心技术多年来从未升级。
研究人员们写道:“这些键盘记录器和钓鱼攻击工具的功能与十几年前相比并没有什么不同。我们发现,黑帽开发人员在开发核心技术方面毫无压力。”
他们还说:“十年前曝光的钓鱼攻击工具使用的PHP框架和报告被盗凭证的方法跟现在是一样的。”
你能做什么?
研究人员们表示,像谷歌这样的公司和用户们可以采取一些简单的措施来保护自己。
研究人员推荐双重认证,也就是说用户登录帐户时除了输入密码之外还需要输入一个特殊的安全密钥或者输入通过一条文本信息发送的代码,然后才能完全访问帐户。
研究人员还建议用户使用密码管理器,为每个网站创建一个新的随机密码。这样,如果一个网站被攻破,黑客也无法访问你的其他帐户,尤其是电子邮箱帐户。
另一个简单的做法就是不要使用不安全的密码,尤其是最常用的密码,比如“123456”或者“abc123”等。
研究人员指出:“对于我们数据集中的所有谷歌用户来说,如果他们的真实身份认证信息暴露了,我们会通过强制密码重置来重新保护所有的帐户。”
研究人员写道,像谷歌这样的公司也应该考虑鼓励用户遵循这些做法。
