我們很常聽到某某駭客組織入侵了某某公司的伺服器,盜取了多少多少的帳號資訊,特別是信用卡資料。聽起來這些大廠們好像永遠都可能被駭客攻破,並且害大家的資料被盜取,信用卡被盜刷,但是根據 Google 的說法,他們統計了一年份的帳號被盜資訊,發現大多數帳號被盜用的原因主要還是以 網路釣魚 攻擊為主,反倒是常聽到的鍵盤側錄(keylogging)或是主機被攻破的損失還沒有網路釣魚來得大:
▲Google 一個帳號可以使用多種服務,但裡面的個人隱私資料也是駭客的目標之一。(圖片來源)
網路釣魚攻擊聽起來是個老套的方案,但他仍然存在,就代表這種方式仍然很有用。過去我們很少見到有網路公司專門研究帳號被盜取的原因,但 Google 卻在這個領域上仔細研究,並有了看法。該公司與加州大學合作,分析了數個案例,研究駭客如何入侵別人的帳號。從 2016 年 3 月到 2017 年 3 月之間,該公司統計了相當多資料,統整出一些重要的發現。
Google 研究了這些帳號被入侵的方式,並追蹤了相當多個交易第三方帳號密碼的組織,以及一些透過網路釣魚攻擊竊取的帳號資訊。還有因為駭客從第三方入侵系統得來的帳號。據統計,駭客通常會竊取相當龐大的帳號量,但有許多是無效的帳號,成功率大約 7%。而網路釣魚與鍵盤側錄得來的資料則準確的多。有 12至 25% 的成功率:
▲鍵盤側錄跟網路釣魚已經不是什麼新手法,但得手的實力不比駭客直接攻破防線獲取資料的方式差。(圖片來源)
不過,最近的登入機制不僅是獲得帳號密碼就能窺探到使用者隱私資訊,因此駭客除了偷帳號資訊外,還得嘗試將驗證帳戶持有者身份的資料一起偷走。打個比方來說,有的帳號會認真的設定「安全問題」,只要登入 IP 不同時,就會詢問這些問題。有的可能會需要手機認證,也就是兩階段認證的形式,這些都降低了帳戶真正被竊取的風險。
Google 的統計中顯ˋ是,有 82% 的網路釣魚工具 跟 74% 的鍵盤側錄工具會去收集用戶的 IP 地址跟位置,而有 18% 的工具會收集電話號碼跟登入裝置的型號來偽裝登入:
▲網路釣魚至今仍然是竊取帳戶資料的常見手法(圖片來源)
如果將這幾種攻擊方式做個排名,Google 研究報告給了網路釣魚第一。其次是鍵盤側錄工具,反而看起來破壞力最強的駭客攻擊排在最後。
Google 的研究結果往往也會直接應用在自家的帳號安全保護上,像是最近 Google 推出 Advanced Protection 功能,為那些名人、政要等容易被攻擊的目標提供更進一步的保護。Google 在研究報告的最後也特別建議使用者放棄那些容易被解密的密碼跟保護方式,最好是使用密碼生成器來產生複雜的密碼,也啟用雙因素身份認證,使自己的帳號比先前「裸裝」的狀態多了幾分防護。
消息來源:Google Security Blog