近500萬 Gmail 帳號密碼被公布!!檢查是否遭駭工具,竟是網路釣魚

繼 iCloud洩百女星裸照事件後,英國《每日郵報》報導,9 月 10 日在俄羅斯「比特幣安全」(Bitcoin Security)論壇上赫然出現近 500萬個 Gmail的帳密清單。

Gmail2

Google呼籲 Gmail用戶經常變更密碼,並啟用帳戶登入的兩階段認證功能

雖然公布者聲稱其中 60%的帳密仍在使用中,Google表示這些用戶資料中有效帳密比例不到2%,也沒有證據顯示有系統被攻擊,但仍建議用戶採取預防措施,例如重設密碼,並啟用兩階段驗證。

Google在部落格貼文表示這些帳號和密碼並非來自Gmail本身外洩,而可能是「其他來源」。在過去發生的案例中,趨勢科技發現網路釣魚(Phishing)是個資外洩案最常使用的伎倆。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件,它可能藏身在搜尋結果第一頁的長得很像 LINE 的頁面;或是冒充facebook 安全中心的小12小時內停權警告信,重大個資外洩案,如eBay外洩百萬個資也是肇因於難以分辨得網路釣魚詐騙信件

檢查是否遭駭工具,竟是網路釣魚網站

提醒大家目前有一些聲稱可以幫你檢查是否在本波外洩名單的工具,其實是另一種駭客竊取個資的詐騙手法。比如一個網站宣稱可讓用戶輸入電子郵件地址,查詢自己是否受害,並表明絕不會蒐集個資,但詭異的是該網站卻是在事件曝光的前一天即註冊,也就是說比駭客公布近 500 萬筆帳密的時間還早,經趨勢科技分析該網站為 網路釣魚(Phishing)網站,趨勢科技PC-cillin 2014雲端版 已經將該網站封鎖。

雖然某些釣魚網站不會要求輸入密碼 ,但卻可能利用蒐集到的 email 發送垃圾信件;如果”好心”的檢查工具頁面順便提供立即更新 Gmail 密碼的連結,千萬別點入,當心帳號密碼一起奉送給駭客了,記得:更新密碼請手動輸入官方網址。

PCC

在任何網站輸入帳號密碼前,請再三確認

老話一句,在任何網站輸入帳號密碼前,請再三確認是否為原始官方網站,不要輕易輸入密碼。現在測試一下你看得出以下這個 LINE 釣魚網頁哪一個是真的嗎?

如果你沒有辦法憑肉眼辨認真假,讓就交給可以主動預警惡意網頁,以顏色清楚標示惡意網址,讓您輕鬆一眼洞悉潛在威脅的網路安全軟體,如趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機、平板、電腦全方衛!即刻免費下載

 

iCloud 明星裸照外洩事件,也成為網路釣魚詐騙誘餌

順帶一提針對尋找上述 iCloud洩百女星裸照外流照片使用者的網路釣魚騙局,已經出現,以下是其中一個案例:

惡意網址藉著iCloud被駭明星影片在FACEBOOK 塗鴉牆散播擴散
惡意網址藉著iCloud被駭明星影片在FACEBOOK 塗鴉牆散播擴散

8 個小撇步,讓你的個資不成公開的秘密

針對裸照外流事件,蘋果也發出新聞稿指稱他們不認為iCloud有漏洞,可能是這些女星帳號的密碼設定得太簡單。

0905 icloud

即使多數的我們不是 iCloud外洩女星裸照 事件中的 A 咖名人,但我們還是有些寧可不公開的資料。因為一旦個資外洩,就等於是開放給所有的網路詐騙集團,記住以下 8 個小撇步,不讓個資成公開秘密:

  1. 確定您的密碼複雜而不易猜測(長度超過10 個字元的密碼,越長越好)
  2. 混合使用大小寫字母、數字和標點符號(將某些字母換成數字和/或標點符號)
  3. 切勿在多個帳號重複使用相同密碼(花點時間為每一個帳號建立各自的密碼。)
  4. 使用一套密碼管理軟體, 如 PC-cillin 雲端版內建的密碼管理 e 指通 ,這裡立即免費下載DirectPasss
  5. 重設密碼的安全提示問題,確定只有您自己知道答案。記得,您的答案不必是真的,只要是您記得住的就行。
  6. 隨時留意那些專門用來騙您提供使用者名稱和密碼的網路釣魚(Phishing)郵件。可免費下載可主動預警惡意網頁,以顏色清楚標示惡意網址的趨勢科技PC-cillin 2014雲端版 
  7. 若是任何線上服務提供了額外的安全機制,例如透過手機進行雙重認證,請務必將它啟用。
  8. 不要再用這些每年都上榜的最易破解密碼,比如 123456, 5201314,避免使用紀念日,寵物名字。

Linkedin前卅大被破解的密碼 

Yahoo 被駭密碼

Angel是被盜密碼排行榜常客

【同場加映】
不是只有 A 咖女星,才該擔心個資成公開秘密

 

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

 密碼管理 e 指通

◎ 歡迎加入趨勢科技社群網站

   

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線,就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取,那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站 如 FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣,網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具,內含了一個密碼還原程式,可有效蒐集使用者的登入帳號密碼,即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料,此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼,使用的是類似「PasswordFox」的工具。

過去,趨勢科技已發現多個專門竊取資料的惡意程式,包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似,但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊,然後儲存在一個名為 {電腦名稱}.txt  的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式,PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料,這是一個專為 FireFox 瀏覽器設計的程式,叫做「PasswordFox」。

 

PASSTEAL 一旦蒐集到資料,就會執行命令列指令程式的「/sxml」選項,將竊取到的帳號密碼儲存成 .XML 檔案,然後再將它轉成 .TXT 檔案。接著,PASSTEAL 會連線至遠端 FTP 伺服器,將蒐集到的資訊上傳。

事實上,此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括:FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行。 繼續閱讀

從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)

 

利用便利貼記密碼是個好方法嗎?
利用便利貼記密碼是個好方法嗎?

 

根據Yahoo 遇駭事件,10大最駭密碼,多熟臉孔,其中「123456」踢下2011年奪冠的最駭密碼「password」,按照鍵盤位置排序的「qwerty」再度入圍。

當您在註冊線上服務時,您是否也會使用常見名稱、生日或容易猜到的數字組合來當密碼?您是否還在使用 123456welcome、甚至是 password 等簡單、容易記得的單字?您所有的線上服務是否都使用相同的密碼?

看看 2011 年爆發的一連串資料外洩事件,而且至今仍經常發生的情況,您所冒的風險就可想而知。七月中,Yahoo Contributor Network 服務平台有將近 50 萬筆使用者名稱和密碼失竊。就在前一天,Formspring 意見交流網站也發現自己有 420,000 筆使用者密碼失竊。去年六月,光是一個星期之內就有 LinkedIneHarmonylast.fm 等三家公司的數百萬筆使用者帳號密碼外洩。

我們曾多次不厭其煩地提醒您該如何挑選密碼:

失竊的 Yahoo 密碼長度大約都在 6 至 10 字之間。所以,將您的密碼設長一點。至少要 10 至 12 個字,如果是敏感的網站,例如網路銀行,則再設長一點。使用多個字組成的詞,而不是一個單字的密碼。 請參考Yahoo 雅虎遇駭,10大最駭密碼,熟臉孔過半

Yahoo被駭密碼

  1. 隨意組合多個無意義的字,千萬別用慣用詞。
  2. 別使用您在其他服務上已經用過的密碼,或是同一服務其他帳號的密碼。萬一網路犯罪者破解了您的密碼,而您所有服務都用同一個密碼,那您的資料就遭殃了。
  3. 使用趨勢科技可以免費試用趨勢科技DirectPass密碼管理 e 指通之類的密碼管理程式來輕鬆存取放在雲端的密碼。

不管如何,您的密碼管理系統不可能完全滴水不漏。最近發生的一些事件突顯了一項真正的風險:那就是服務供應商的資訊外洩問題。這就好像您在前門設置了各種高科技鎖,卻發現歹徒直接從後門進入,而且使用服務供應商極機密的萬能鑰匙。

當您的服務供應商發生資料外洩時,您該怎麼辦?

如果您已遵照了前述的第 3 條指示,您至少可以降低衝擊,不讓問題擴大到其他帳號。不過,只要聽到您在使用的某個線上服務發生資料外洩,您最好還是清除一切資料,並且重新設定密碼。

如需更多有關網際網路安全的技巧、建議與警示通知,只要在 Facebook 上的趨勢科技TrendMicro網頁按一下「讚」即可:www.facebook.com/trendmicrotaiwan

原文來源:How to Minimize the Impact of an Online Service’s Security Breach

@延伸閱讀

Yahoo 雅虎遇駭,前10大最駭密碼,熟臉孔過半

關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

Linkedin 被駭密碼被駭密碼

 

 

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

◎ 歡迎加入趨勢科技社群網站