最新研究成果：帳戶基本資訊對預防駭客攻擊預防成效

每一天，我們在網路上阻擋了數十萬次企圖盜用或挾持使用者帳戶的攻擊，以保護使用者。這些攻擊大部分源自於能夠存取第三方密碼的殭屍電腦被攻陷，但其中仍不乏網路釣魚和針對性的攻擊。今年稍早，我們提出了包括新增一組備援電話等能夠協助使用者讓帳戶更安全的五項簡易措施，現在我們想進一步證明這些措施能夠如何保護使用者的帳戶安全。

我們與紐約大學、聖地牙哥加利福尼亞大學研究人員一同了解帳戶基本資料對於預防帳戶挾持的成效。這項為期一年、針對大範圍目標攻擊與針對性攻擊的研究，在上週 Web Conference 當中，我們已和與會的專家、政策制定者與使用者分享。

我們的研究顯示，只要在 Google 帳戶中新增一組備援電話，就能夠阻擋高達 100% 殭屍電腦攻擊(bot)、99% 針對大量目標的網路釣魚攻擊，以及在我們調查期間發生的 66% 針對性攻擊。

Google 提供自動且主動的帳戶狹持防護機制

我們提供自動且主動的安全防護層，以便更進一步保護所有使用者免受到帳戶挾持的威脅。以下是它的運作原理：如果我們檢測到可疑的登入嘗試(例如：嘗試從新的位置或裝置登入帳號)，我們會要求提供額外資訊來證明嘗試登入帳戶的人是使用者本人。我們也許會藉由測試使用者是否能夠在手機上接收資訊，或詢問一個在正常情況下，只有使用者本人才知道的秘密。

若使用者已設定了一組備援電話，我們就能夠藉由該裝置，提供類似兩步驟驗證的程序。我們發現，傳送到備援電話的簡訊能夠有效阻擋 100% 殭屍電腦攻擊(bot)、96% 網路釣魚攻擊，以及 76% 的針對性攻擊。在裝置上的提示功能更可以預防 100% 殭屍電腦攻擊(bot)、99% 網路釣魚攻擊，以及 90% 針對性攻擊。

如果使用者沒有事前建立備援電話號碼，那麼我們會透過相較之下防護力較弱的問答，詢問例如上次最後登入的地點等資訊，來保護使用者。這項防護機制可以有效阻擋試圖登入帳號的殭屍電腦(bot)，但對於網路釣魚攻擊以及針對性攻擊的防護率卻會降為 10%。這是因為網路釣魚頁面和針對性攻擊者有可能藉由其他方式，誘騙使用者提供我們可能會詢問的額外識別資訊。

有些人可能想問，既然這些識別機制能為帳戶安全帶來優勢，為何我們不將這個機制應用在所有登入中？答案是，這樣的機制也可能讓使用者反彈，或增加使用者帳號被鎖住的風險。在一項實驗中，有 38% 使用者在這樣的機制下無法順利登入、存取帳戶內容，另有 34% 使用者無法記住自己的第二組信箱。

當無法登入手機或回答不出問題時，使用者可隨時到先前登入過的已信賴裝置取得帳戶訪問權限。

深入了解接受委託的駭客攻擊 (hack for hire)

在大多數的殭屍電腦(bot)與網路釣魚攻擊都能被我們的自動保護措施阻擋的情況下，針對性攻擊就顯得更加有害了。在我們持續努力監測帳戶盜用威脅的過程中，我們也調查了新增的受僱駭客(Hack for hire)攻擊犯罪組織 ，這些組織會為了獲得美金 $750 報酬而駭入單一帳號，並且經常藉由冒充家庭成員、同事、政府機關或甚至 Google，來達到目的。在初次網路釣魚攻擊失敗後，這些組織仍會持續攻擊該帳號長達一個月以上。

我們預估僅有百萬分之一的使用者可能面臨這樣等級的風險，且攻擊者一般不會隨意攻擊個人使用者。儘管研究顯示我們的自動防護機制能夠協助延遲、甚至防止研究中多達 66% 的針對性攻擊，我們仍然建議高風險人士能夠加入我們的進階保護計畫。事實上，在我們的調查期間，有特別使用安全金鑰的使用者無一受到針對性攻擊的威脅。

花點時間讓帳戶更安全

就像繫上安全帶，只要花點時間進行這五項措施，就能確保讓帳戶更安全。如同我們的研究結果顯示，能夠最有效保護 Google 帳戶的方式之一就是設置一組備援電話號碼。針對像記者、社會運動人士、企業領袖和政治競選團隊等容易成為攻擊目標的使用者，我們的進階保護計畫能夠提供最高級別的安全防護。使用者現在可以透過安裝Password Checkup Chrome 擴充功能，協助保護非 Google 帳戶免受第三方密碼洩漏的侵害。