钓鱼网站是黑客盗取网民账号密码的一种常见方式,不良之徒通过垃圾邮件,诱使网民访问“李鬼网站”,并主动填写账号和密码。最近,谷歌公司的一个研究显示,钓鱼网站的成功率,超出了一般人想象,“最优秀”的钓鱼网站能够让一半的访客上钩受骗。
这一研究由谷歌和加州大学圣迭戈分校共同进行。研究结果本周对外公布。
钓鱼网站模仿的对象包括谷歌这样的知名网站,研究显示,14%的钓鱼网站访问者,会将账号等机密信息泄露给黑客。总体而言,网民中招的概率超出预期。
在这项研究中,谷歌和加州大学调查了Gmail中随机抽取的100封“钓鱼电子邮件”以及网民对其的反应。另外,研究人员同时从100个钓鱼网站获取了数据。据报道,这些钓鱼网站通过谷歌的“安全浏览系统”被拦截,另外由于样本中的钓鱼网站采用了谷歌的网络表格工具,因此研究人员可以获得用户的填表数据。
这样,研究人员可以观察到网民从阅读“钓鱼邮件”到访问钓鱼网站的一系列反应。统计显示,即使是设计最糟糕的钓鱼网站,大约有3%的网民,主动交出了账号密码。在“最成功”的钓鱼网站中,45%的访问者中招。
在研究报告中,谷歌表示每一个黑客会发送几百万封电子邮件,引诱网民访问钓鱼网站,因此根据上述的成功率,这些黑客将会获得海量的网民账号密码,堪称一笔“大生意”。
钓鱼网站攻击者的成果,是大量用户的账号和密码。上述研究显示,在获得账号后,攻击者在每个账号上会花费三分钟的时间,来决定该账号是否有价值进行进一步的“挖掘”和诈骗。
如果黑客获取的是Gmail邮箱账号,他们会利用电子邮件搜索功能,专门搜索“转账”和“银行”等关键字,寻找进行盗取资金的机会。
在获得了网民的好友列表之后,这些不良之徒的欺诈手段实际上算不上新鲜。他们会以被攻击者的身份,给对方的亲朋好友发送邮件,编造谎言博取同情或是希望对方转账汇款,这些谎言包括“昨天晚上我们在一个巷子里被抢劫了”。
对于钓鱼网站的攻击,谷歌也提供了一个安全建议。最好的方式就是在Gmail等服务中启用两步验证,即除了账号密码之外再提供短信验证码等第二个手段。
谷歌表示,如果收到了可疑的邮件,用户应该及时报告给邮件服务商,而不是选择回复邮件。另外,如果好友告知最近收到了奇怪内容的邮件,则用户的邮箱可能已经被黑客盗取,网民应该尽早采取措施重新获得邮箱控制权。
这项研究发现,两成的钓鱼时攻击者,会在获得用户密码半小时之内进入对方邮箱进行“探索”,搜寻可乘之机。
在过去一年中,美国零售、金融等行业遭遇多次严重的黑客攻击,包括电子邮箱、地址在内的个人隐私信息被盗取。比如摩根大通银行报告称,今年夏天遭遇黑客攻击,导致7600万家庭和700万中小企业的联系信息被盗。对于邮箱账号被盗的用户,以上谷歌有关邮箱攻击的的安全建议将大有裨益。