什麼才是 Google 帳戶安全的最大威脅？

過去一年的安全熱點可能更多集中在勒索軟體上，但是我們也不要忘了那些多達十億級的密碼洩漏事件。

包括 Google 和加州大學伯克利分校的研究人員在內都試圖緩解這一現狀，他們共同分析了網路犯罪分子是如何通過操控地下市場來進行個人憑證的竊取、使用以及變現。

在分析過 16 年 3 月至 17 年 3 月間的地下黑市活動及由此帶來的對 Google 賬戶安全性的影響後，研究人員表示他們很想知道這些鍵盤記錄工具、網路釣魚工具和非法售賣的資料是如何轉換成有效的 email 憑證的，以及如何在此基礎上進一步控制使用者的線上身份。

研究發現相關的狀況並不樂觀，Google 在本屆 ACM CCS 上發表的論文指出，有 7％ 到 25％ 的洩露密碼與受害者的 Google 帳戶是匹配的。且據研究人員估計，在黑市交易中共有 19 億條的使用者名稱和密碼記錄是由洩露得來的，再加上 1240 萬條由釣魚工具得到的資料和 788,000 條來自鍵盤記錄工具的資料，因此總體形勢還是非常嚴峻的。

同時，Google 在一篇相關 blog 中表示：“由於僅通過密碼並不足以訪問受害者的 Google 帳戶，可能還需要進行其它的驗證，所以越來越多的攻擊者會嘗試收集驗證帳戶身份時可能被要求提供的那些敏感資訊。我們發現 82％ 的黑客釣魚工具和 74％ 的鍵盤記錄工具會試圖收集使用者的 IP 地址和具體位置，另有 18％ 的工具會收集受害者的手機號碼以及裝置的具體型號。”

Google 繼續說道：“通過對影響使用者的風險進行評級，我們發現其中網路釣魚是最具威脅的，其次是那些鍵盤記錄工具，最後才是來自第三方的資料洩露。”

至今網路釣魚依然是安全領域最成功的利用方式之一，十多年來基於該技術的成功案例可以說是比比皆是。

Google 還表示，目前這些洩露資料已經被用到加強 Gmail 的安全性防護上了。

最後，研究人員補充道：“我們的研究成果闡述了地下產業在個人憑證竊取方面給全球帶來的影響，並向使用者說明了密碼管理以及開啟賬戶兩步驗證的重要性。”

原文連結：https://threatpost.com/phishing-biggest-threat-to-google-account-security/128859/

本文由看雪翻譯小組 BDomne 編譯