蓝点网
给你感兴趣的内容!

Google安全研究:账号手动绑架虽然数量很少、但也是最难防范的

Google公布和加州大学圣地牙哥分校共同执行的研究报告指出,占极少量的帐号手动绑架(manual hijacking)因为成功机率高,对网络使用者反而造成极大的威胁。

本调查是Google和加州大学人员分析2011年到2014年的网钓邮件和网站来源而成。

研究人员发现,攻击者主要来自中国、象牙海岸、马来西亚、奈及利亚及南非。

在研究样本中,在每日每百万用户中仅有9件手动绑架,但却能造成相当严重的后果及财务损失。

Google安全研究:账号手动绑架虽然数量很少、但也是最难防范的

Google反邮件滥用研究中心主管Elie Bursztein解释,手动绑架的专业攻击者主要通过网钓邮件入侵使用者帐号,并耗费相当多的时间来探索受害者帐号(具有目的和针对性的攻击),并借此取得用户名称、密码、及其他个人资料。

研究人员发现,假网站诱骗使用者的成功机率高达45%,造访这类网站的用户平均有14%会送出自己的资讯,而即使最容易辨认的钓鱼网站,也能骗到3%的使用者。

大约20%的被害帐号在黑客取得登入资料后30分钟内就遭到入侵,而一旦成功进入帐号后,黑客会花20分钟以上来变更密码锁住真正用户、搜寻其他帐号资料(如银行或社交网站密码),以及诱骗其他用户上门。

Google安全研究:账号手动绑架虽然数量很少、但也是最难防范的

黑客之后会再从受害者帐号传送网钓邮件到联络人名单中的所有人,藉由社交工程诱骗其他友人,这类使用者被绑架的机率是自己上勾的36倍。

黑客会依据新的安全措施改变其策略,例如网站在使用者帐号从可疑地点或装置登入时发出通关问题,例如「最常在哪个城市登入?」时,黑客几乎可以立即网钓出答案。

Google提醒用户,对于一些询问登入资讯或其他个人资料的电子邮件,不要直接回复,而是向Google通报,而如果要查看或更新资讯,不要由邮件所附连结登入网站,而是手动输入网址直接造访网站。

Google并提醒,如果信箱的帐号遭绑架,可以透过备用电话或备用电子邮件帐号来取回帐号所有权,二步验证也能强化帐号安全,免于被绑架。

Google最近并宣布开始支持FIDO联盟的U2F开放二步骤验证技术,让使用者可以利用支援FIDO U2F标准的USB Security Key安全钥匙 ​​来存取Google服务。

(编译自ITHOME.TW

转载请注明来源于蓝点网及本文链接:蓝点网 » Google安全研究:账号手动绑架虽然数量很少、但也是最难防范的
分享到:更多 ()
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    木头科学二百五2年前 (2014-11-16)回复