谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,大多数网上提供的黑客雇用服务都是诈骗或者无效的。
Hack for Hire: Exploring the Emerging Market for Account Hijacking
研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。
这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐,用来进行此次研究,账号允许研究人员记录其与受害者的关键互动行为,以及为此次研究创建的角色的其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。
研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。
Hack for Hire: Exploring the Emerging Market for Account Hijacking
研究人员表示,这些黑客攻击服务的收费通常在 100 美元到 500 美元之间,而且没有人使用自动化工具进行攻击,所有攻击都涉及社会工程,黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中,一些黑客询问了研究人员要攻击的受害者的详细信息,而其它人则不过问,并且选择使用可重复使用的电子邮件网络钓鱼模板。
研究人员的结论是,当前 Email 劫持服务出售尚未成熟到其它犯罪细分市场的水平。可以查看原报告,了解该研究的具体细节:
引用来自“巴拉迪维”的评论
那么问题来了:哪里才能雇佣真的黑客呢?