圖片來源: 

Google安全中心

Google公布和加州大學聖地牙哥分校共同執行的研究報告指出,佔極少量的帳號手動綁架(manual hijacking)因為成功機率高,對網路使用者反而造成極大的威脅。

本調查是Google和加州大學人員分析2011年到2014年的網釣郵件和網站來源而成。研究人員發現,攻擊者主要來自中國、象牙海岸、馬來西亞、奈及利亞及南非。在研究樣本中,在每日每百萬用戶中僅有9件手動綁架,但卻能造成相當嚴重的後果及財務損失。Google反郵件濫用研究中心主管Elie Bursztein解釋,手動綁架的專業攻擊者主要透過網釣郵件入侵使用者帳號,並耗費相當多的時間來探索受害者帳號,並藉此取得用戶名稱、密碼、及其他個人資料。

研究人員發現,假網站誘騙使用者的成功機率高達45%,造訪這類網站的用戶平均有14%會送出自己的資訊,而即使最容易辨認的釣魚網站,也能騙到3%的使用者。

大約20%的被害帳號在駭客取得登入資料後30分鐘內就遭到入侵,而一旦成功進入帳號後,駭客會花20分鐘以上來變更密碼鎖住真正用戶、搜尋其他帳號資料(如銀行或社交網站密碼),以及誘騙其他用戶上門。

駭客之後會再從受害者帳號傳送網釣郵件到聯絡人名單中的所有人,藉由社交工程誘騙其他友人,這類使用者被綁架的機率是自己上勾的36倍。

駭客會依據新的安全措施改變其策略,例如網站在使用者帳號從可疑地點或裝置登入時發出通關問題,例如「最常在哪個城市登入?」時,駭客幾乎可以立即網釣出答案。

Google提醒用戶,對於一些詢問登入資訊或其他個人資料的電子郵件,不要直接回覆,而是向Google通報,而如果要檢視或更新資訊,不要由郵件所附連結登入網站,而是直接搜尋造訪網站。

Google並提醒,如果信箱的帳號遭綁架,可以透過備用電話或備用電子郵件帳號來取回帳號所有權,二步驗證也能強化帳號安全,免於被綁架。Google最近並宣佈開始支援FIDO聯盟的U2F開放二步驟驗證技術,讓使用者可以利用支援FIDO U2F標準的USB Security Key安全鑰匙來存取Google服務。

相關連結:Google安全部落格研究報告Google安全中心


熱門新聞

Advertisement