· 数以十亿计的用户名和密码被挂在黑市论坛上明码标价。

· 研究人员通过分析Google的内部数据，发现这些被盗账户中有7%到25%的用户仍在不知情的情况下使用他们的Google账户工作。

· 在本次研究中，Gmail、Yahoo和Hotmail的账户占所有被盗账户的50%，而密码则是通过MySpace、LinkedIn等不同渠道盗取的。

左起：网站、个人信息泄露数量、纯文本密码百分比。

来自Google和Berkeley的研究人员在一篇最新发布的重要研究中表明，数目庞大的Google账号和密码被放在黑市上明码标价，通过购买这些账号和密码，任何人都可以轻易登陆其他人的Google账号。

研究使用Google内部被严加处理的专有数据作为案例分析，用以研究黑客论坛和暗网上被黑客窃取的密码和其他信息是否真的能在真实账户上使用。

研究人员写到，事实证明，多达25%的泄露信息可以被用来登陆和使用Google账号。

研究指出：“通过对数千个在线服务和密码的重复使用和有针对性的收集，我们估计数据集中有7%到25%的被盗密码将使攻击者能够登陆受害者的Google账户，并通过关联账户而接管他们的网络身份。”

研究者发现在黑市网络上有超过19亿个用户名和密码仍在流通。

这意味着什么？基本上来说，许多用户在MySpace和Google上使用相同的用户名和密码，因此当MySpace的数据库被泄露时，黑客可以简单地尝试所有在Google上被攻破的密码，并希望其中一些组合能成功。

事实上，MySpace并不是唯一一个流出用户名和密码数据库的大型网站。

近年来，密码重复使用的问题引起了很多“业界有名”的黑客的关注。例如，Facebook的首席执行官马克·扎克伯格为他的Twitter和Pinterest账户设置了相同的密码“dadada”,而这导致他的Facebook账号在2016年被一个名为“OurMine”的黑客团队轻易攻占。

据报道，使用被盗密码的OurMine团队也瞄准了Google的首席执行官Sundar Pichai、演员Channing Tatum和亚马逊的首席技术官Werner Vogels。

低技术含量的网络武器

研究人员还具体研究了用于网络钓鱼的恶意软件，并记录了用户的类型。网络钓鱼工具暗藏在虚假电子邮件中，链接到看起来和Yahoo、Hotmail一模一样的网站。因此，毫无戒心的用户一旦将密码输入到这些足以乱真的诈骗网站上，个人信息就有可能被盗取。研究人员表明，大约有1240万潜在的受害者面临个人信息泄露的风险。

左起：受害网站、受影响用户数、泄露邮件数、活跃天数

左起：键盘记录系统、受影响用户数、泄露邮件数、活跃天数

此外，据报道，还有成千上万的“键盘记录器”，"HawkEye"，"Cyborg Logger”等诸如在用户毫不知情的情况下运行着，收集用户信息并发送给黑客。

事实证明，虽然有很多开发者在销售和分发这些恶意软件，但事实上他们的核心技术多年来从未更新。

研究人员称：“诸如键盘记录器和网络钓鱼工具，可以追溯到2005年。我们观察到黑客软件开发者在更新和开发新技术时面临着极大的困难。网络钓鱼工具在接近十年前就出现在网络上，而如今还是依赖着相同的PHP框架和方法。”

我们能做点什么

研究人员称，像Google这样的公司和它的用户可以通过采取一些简单的举措来保护自己的账号安全。研究人员推荐双重身份认证，这意味着在登陆时，用户需要一个特殊的安全密钥或输入通过短信发送的代码才能获得对账户的完全访问权限。

此外，研究人员还建议使用密码管理器，为每个站点创建一个新的随机密码。这样一来，如果一个站点被破坏，那么黑客就无法访问用户的其他账户，尤其是电子邮件。

最后，另一个简单的方法是不要使用不安全的密码，尤其是像 “123456” 或 “abc123” 这样最常用的密码——要知道，比起被谋杀，美国人更担心被黑客窃取用户信息。

左起：最常使用的密码、使用人数、百分比

研究人员指出：“对于我们数据库中的所有用户，如果他们的真实证书被暴露，我们将通过强制密码重置的方式来重新保护所有账号。”

“Google等公司应该考虑鼓励所有用户遵循这些做法，从而保护他们的个人信息和账号。”研究人员指出。

文：Business Insider

译：Alvin Zhou

编辑：Melody

排版：大高个儿

资料来源：http://www.businessinsider.com/google-research-report-on-phishing-keyloggers-and-stolen-passwords-2017-11