北京時間11月14日上午消息，去年的安全威脅可能主要是來自勒索軟件，但屢發(fā)的非法入侵和驗證漏洞導(dǎo)致幾十億密碼被泄露的事件也很難讓人忽略。

谷歌和加州大學(xué)伯克利分校的研究人員試圖解決這些問題，并聯(lián)手分析操縱憑據(jù)地下市場的網(wǎng)絡(luò)犯罪分子是如何竊取、使用和貨幣化這些數(shù)據(jù)的。

通過研究自2016年3月到2017年3月的黑市活動及其對谷歌賬戶的影響，研究人員表示，他們想知道是如何靠大量的鍵盤記錄器、網(wǎng)絡(luò)釣魚工具和來自公開非法銷售的可用數(shù)據(jù)來記住有效的電子郵件憑證，從而得以控制用戶的在線身份。

在最近的計算機(jī)和通信安全會議上發(fā)表的一篇論文中，谷歌表示，7%到25%被泄露的密碼與受害者的谷歌帳戶相匹配。總的來說，谷歌和加州大學(xué)伯克利分校估計，有19億用戶名和密碼是因黑市交易中的非法入侵而被盜。另外還有1240萬釣魚工具和78.8萬商業(yè)鍵盤記錄器的受害者，形勢很是嚴(yán)峻。

研究人員寫道：“我們觀察到這些不良行為顯然沒有受到外部約束，自21世紀(jì)00年代中期以來，釣魚工具的手段和鍵盤記錄器的作為基本沒有發(fā)生變化。”

谷歌表示，在這項研究中追蹤到的黑市中，有2.5萬個攻擊工具可用于網(wǎng)絡(luò)釣魚和鍵盤記錄程序。盡管攻擊者密碼錯誤3次后無法再登錄谷歌帳戶，但他們并不會因此而放棄。

谷歌在與該報告一起發(fā)表的博客文章中表示：“由于只有密碼也并不足以讓用戶訪問谷歌帳戶，所以技術(shù)越來越強(qiáng)大的攻擊者也會嘗試收集我們在驗證帳戶持有人身份時可能會要求的敏感數(shù)據(jù)。 我們發(fā)現(xiàn)有82%的黑客釣魚工具和74%的鍵盤記錄器企圖收集用戶的IP地址和位置，還有18%的工具在收集用戶的電話號碼和設(shè)備機(jī)型及型號。”

谷歌表示：“通過對用戶的相對風(fēng)險進(jìn)行排名，我們發(fā)現(xiàn)網(wǎng)絡(luò)釣魚構(gòu)成了最大的威脅，其次是鍵盤記錄器，最后是第三方泄露。”

網(wǎng)絡(luò)釣魚依然是安全領(lǐng)域最大的破壞行為之一，盡管已經(jīng)對用戶就其入侵范例進(jìn)行了十多年的宣導(dǎo)。

研究人員還寫道：“劫機(jī)者在模擬目標(biāo)客戶的歷史登錄行為和設(shè)備配置文件方面也取得了不同的進(jìn)步。我們發(fā)現(xiàn)網(wǎng)絡(luò)釣魚的受害者比某一谷歌用戶被成功劫持的可能性高出400倍。相比之下，數(shù)據(jù)泄露受害者被劫持的比率下降到10倍，鍵盤記錄器受害者的比率下降到40倍。這是因為釣魚工具積極地竊取風(fēng)險信息來冒充受害者，83%的釣魚工具收集地理定位，18%收集電話號碼和16%收集用戶代理數(shù)據(jù)。”

研究人員在研究期間發(fā)現(xiàn)了4000多個用于主動攻擊的釣魚工具，而鍵盤記錄器只有52個，證明釣魚工具的泛濫。網(wǎng)絡(luò)釣魚工具是用于創(chuàng)建和配置在攻擊中使用的內(nèi)容（包括創(chuàng)建電子郵件和網(wǎng)站）的一體化工具包。這些工具一般用來收集受害者的用戶名和密碼，還有地理位置信息等等。這些驗證信息通過SMPT、FTP轉(zhuǎn)發(fā)給攻擊者或上傳到網(wǎng)站。研究表示，大多數(shù)釣魚工具和鍵盤記錄器都有竊取Gmail憑據(jù)的配置，而雅虎網(wǎng)絡(luò)郵箱用戶卻是憑據(jù)泄露的最大受害者。雅虎曾經(jīng)報道過，有30億用戶的數(shù)據(jù)已被攻擊者竊取。

而谷歌表示，已經(jīng)使用這些數(shù)據(jù)來加強(qiáng)Gmail的安全性。

研究人員寫道：“我們的研究結(jié)果表明了地下經(jīng)濟(jì)在憑據(jù)竊取方面的全球影響力，以及向用戶進(jìn)行密碼管理教育和實行雙重認(rèn)證作為可能解決方案的需要。”