研究人员测试电子邮件挟持骇客服务,1/3是空号,部分是诈骗

发布于2019-05-23 22:50:52

导读: 图片来源: Google现代的电子邮件账号不仅是个邮件信箱,它还是人们在网络上的身份基础,可用来申请各项网络服务或重设服务密码,使得挟持电子邮件账号的骇
导读: Google发表了骇客服务品质研究报告,实地要求27个骇客服务为其挟持特定Gmail假人头账号,发现仅一半的骇客提供初步回复,当中只有5个服务真正展开攻击,最后有3个完成任务
图片来源: 

Google

现代的电子邮件账号不仅是个邮件信箱,它还是人们在网络上的身份基础,可用来申请各项网络服务或重设服务密码,使得挟持电子邮件账号的骇客服务大行其道,为了了解这些服务的能力,Google与加州大学圣地牙哥分校的研究人员联手进行了一项研究,他们建立了34个受害者角色,联系了27个骇客服务,却发现有10个服务完全不予回应,有12个服务提供初步回复,只有5个服务真正展开攻击,且当中只有3个完成了任务。

研究人员费了点心思来建立假冒的受害者身份以诱捕骇客,他们全都使用Gmail账号,都启用了基于简讯的双因素身份认证,每个受害者都有自己的网站以强化真实性,还替他们建立联系人或同事,继之再以匿名的买家身份与骇客互动。

他们还特别挑选了那些专门宣称可挟持Gmail账号的27个骇客服务,有超过一半的服务采用俄文,另也有英文与中文。研究人员在报告中并未揭露这些服务的真实名称,而是使用了代号。

接着研究人员就与27个骇客服务接洽,一一要求它们挟持不同的受害者账号,但有10个服务完全没有回应,有9个服务以各种原因回绝,另有3个服务接受汇款但未采取任何行动,属于单纯的诈骗,只有5个服务真正展开攻击,但成功完成任务的只有3个。

研究人员发现,挟持Gmail账号的价格比其它邮件账号贵了一些,牌价介于77美元到460美元之间,但讨论之后通常会提高价码。

此外,真正针对9名受害者展开攻击的5个骇客服务中,几乎全都采用网钓攻击,只有一个骇客使用恶意程式攻击,可惜直接被Gmail扫进垃圾邮件资料夹。研究人员表示,此一结果代表这些骇客服务的客服很差,像是缺乏回应、价格不一、中途加价,或是很久才回复等,且几乎不主动搜集受害者讯息。