網路帳號被駭的威脅不曾少過,尤其像 Google 這樣擁有龐大用戶數的公司,更容易成為駭客目標,因此 Google 研究人員與柏克萊大學網路安全專家合作,花了一整年時間追蹤駭客如何竊取密碼,以及分析如何將這些資訊暴露到網路黑市。
研究結果顯示,駭客主要透過第三方外洩攻擊、網路釣魚兩種方式竊取用戶密碼,其中又以網路釣魚手法最嚴重,當密碼不再是絕對安全的保障,究竟一般用戶有什麼方式可自保呢?
第三方外洩攻擊共測得 33 億次,但實際成功率僅 7%
Google 與柏克萊大學以 Google 帳號為評斷標準,在為期一年的研究中,發現第三方外洩攻擊、網路釣魚為兩大主要威脅。
用戶密碼是許多駭客爭相爭奪的寶藏,特別像 Google 帳號可同時存取 Gmail、Google Docs、Google Drive 等服務,研究中一共記錄到 33 億次第三方外洩攻擊,實際成功盜取的機率只有大約 7%,舉例來說,如果用戶的 Google 帳號跟 MySpace 帳號使用同一組密碼,當 MySpace 被駭客攻破時 Google 帳號也會很危險,駭客只要使用 MySpace 被攻破的密碼不斷嘗試,就有可能找到漏洞。
但光取得密碼並不能完整獲取用戶資料,還必須搭配其他認證資訊,研究人員發現,有 82% 釣魚工具及 74% 鍵盤側錄工具,會設法蒐集用戶 IP 位址及位置。
▲ Google 研究結果顯示,駭客主要透過第三方外洩攻擊、網路釣魚兩種方式竊取用戶密碼,其中又以網路釣魚最嚴重。
網路釣魚共測得 1,240 萬次攻擊,成功率達 25%
另一種手法是透過網路釣魚取得密碼,駭客會在 e-mail 夾帶假連結,如此一來用戶就會在沒有警覺的情況下,在假網站輸入自己的密碼,一年研究中共測得 1,240 萬次網路釣魚攻擊,成功率是 12%~25%。
「密碼就像一把進入王國的鑰匙。」Google 研究員 Kurt Thomas 說:「帳號資訊對駭客來說極具價值,他們無所不用其極要盜取你的帳號。」
儘管這份研究顯示被盜取的帳密數量很龐大,但需要注意的是,研究人員取得的資料仍然受限,因此實際的數字可能更高。
提升資安意識,Google 列出 4 種自保方法
Google 安全研究人員指出,駭客要攻破現在的資安防護機制,竊取用戶資料已越來越不容易,但仍必須時時提高自我保護意識,並提出 4 個自保方法供用戶參考。
- 不使用同一組密碼 :Google 建議用戶不要使用過於簡單的密碼,以及不要在不同網站使用相同密碼。
- 啟用兩階段驗證 :可透過手機接收認證碼以保護帳號。
- 善用密碼管理員 :針對不同網站隨機產生密碼,因此當其中一個帳號被攻破時,駭客就沒辦法如法炮製攻破其他帳號。
- 填寫安全設定檢查:檢視自身帳號的安全性。
雖然有些方法是老生常談,不過 Google 研究員 Kurt Thomas 叮嚀:「密碼已不再是可完全信賴的模範。」
(本文由 數位時代 授權轉載;圖片來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
