圖片來源: 

Google

現代的電子郵件帳號不僅是個郵件信箱,它還是人們在網路上的身分基礎,可用來申請各項網路服務或重設服務密碼,使得挾持電子郵件帳號的駭客服務大行其道,為了了解這些服務的能力,Google與加州大學聖地牙哥分校的研究人員聯手進行了一項研究,他們建立了34個受害者角色,聯繫了27個駭客服務,卻發現有10個服務完全不予回應,有12個服務提供初步回覆,只有5個服務真正展開攻擊,且當中只有3個完成了任務。

研究人員費了點心思來建立假冒的受害者身分以誘捕駭客,他們全都使用Gmail帳號,都啟用了基於簡訊的雙因素身分認證,每個受害者都有自己的網站以強化真實性,還替他們建立聯繫人或同事,繼之再以匿名的買家身分與駭客互動。

他們還特別挑選了那些專門宣稱可挾持Gmail帳號的27個駭客服務,有超過一半的服務採用俄文,另也有英文與中文。研究人員在報告中並未揭露這些服務的真實名稱,而是使用了代號。

接著研究人員就與27個駭客服務接洽,一一要求它們挾持不同的受害者帳號,但有10個服務完全沒有回應,有9個服務以各種原因回絕,另有3個服務接受匯款但未採取任何行動,屬於單純的詐騙,只有5個服務真正展開攻擊,但成功完成任務的只有3個。

研究人員發現,挾持Gmail帳號的價格比其它郵件帳號貴了一些,牌價介於77美元到460美元之間,但討論之後通常會提高價碼。

此外,真正針對9名受害者展開攻擊的5個駭客服務中,幾乎全都採用網釣攻擊,只有一個駭客使用惡意程式攻擊,可惜直接被Gmail掃進垃圾郵件資料夾。研究人員表示,此一結果代表這些駭客服務的客服很差,像是缺乏回應、價格不一、中途加價,或是很久才回覆等,且幾乎不主動蒐集受害者訊息。


Advertisement

更多 iThome相關內容