谷歌声称只有不足1%的垃圾邮件进入Gmail用户的收件箱。在过去的两年中,谷歌一直在改善安全系统以对抗垃圾邮件发送者,但是谷歌指出用户也需要通过采用双重验证来提高自己的网上安全。
在谷歌官方博客的帖子中,谷歌安全工程师Mike Hearn解释道,谷歌公司已采取的措施使得网络罪犯正被迫入侵合法的邮件账户来传播虚假广告,进行钓鱼攻击或从毫无戒心的民众那里勒索金钱或信息。
Hearn说:“垃圾邮件发送者从您的联系人账户向您发送垃圾邮件,来提高他们避开垃圾邮件过滤器的几率,垃圾邮件发送者首先需要侵入那个账户。这就意味着垃圾邮件发送者正变成账户窃贼。每天,网络罪犯入侵网站来窃取用户名和密码数据库——网上账户密钥。他们将数据库在黑市上进行拍卖,或将数据库用于不法用途。”
谷歌遇到过这样的情况:一个攻击者使用被盗密码每天入侵上百万不同的谷歌账户,一次持续数周。这也是为什么谷歌用复杂的风险分析来支持邮件服务。依据Hearn的观点,谷歌的风险分析在决定一次登录尝试是否是合法的或是黑客的行为前考虑了120多个变量。
结果,被盗用的账户数量相比于2011年的高峰时期,下降了99.7%。
虽然帖子赞扬了Gmail在此领域中取得的进步,但它也指出如果没有用户的帮助,谷歌不可能阻止所有的攻击。Hearn强调需要Gmail用户采取双重验证的方法来抵制黑客。通过两步或双重认证,每次用户登录他们的Gmail用户,一个唯一的登录密码会发送到那个用户的智能手机。这个登录密码与标准的邮件地址和密码一起使用才能够进入账户。即使黑客获得了某人的密码,除非他们也得到了那个人的智能手机,否则密码就是无用的。
在这点上,帖子的发出时间是再好不过了。在过去的一周中,大量备受瞩目的Twitter账户被盗用。汉堡王的官方账户说公司已被麦当劳收购,汽车制造商吉普的官方账户声称已被凯迪拉克接管,当然了,黑莓的创意总监及R&B歌手Alicia Keys表示她的账户已被盗用:她的tweeter账户发送的信息显示来源于iphone, 而不是黑莓手机。
这些攻击只被媒体和大众当做有趣的故事来看待,但是Twitter目前没有提供双重验证,如果黑客攻击继续的话,客户可能会因为安全原因开始离开它。
因此如果 Twitter不采用双重认证系统,担心安全的用户应该保证他们的密码难以攻克——Sophos对此提供了一些建议,并且,关键的是用户要保证不要把相同的密码和邮件地址的组合用于登录其他的网页服务或账户。正如Hearn所说:“因为很多人将相同的密码用于不同的账户,一个网站上被盗用的密码常常在其他网站上是有效的。” |