Khi mà hầu hết người dùng hiện đã cẩn trọng với các thư điện tử rác, tội phạm mạng đã chuyển hướng tập trung tấn công vào các dịch vụ web nổi tiếng như Gmail, Facebook, Yahoo và Hotmail. Chúng đột nhập vào các tài khoản và sau đó gửi thư rác của họ đến các địa chỉ của nạn nhân với hy vọng các thư rác đó sẽ có hiệu quả hơn bởi chúng đến từ những người bạn. “Mọi người thường trả lời những thư đến từ những người họ biết”, Andrew Brandt, chuyên gia nghiên cứu của hãng bảo mật Webroot nói. 

      Các thư rác được gửi đi từ những tài khoản bị hacker chiếm đoạt có thể chứa các liên kết đến những trang dược phẩm giả hoặc các trang web mạo danh những tổ chức uy tín để lừa lấy thông tin cá nhân. Ngoài ra, hacker cũng có thể lợi dụng để lừa tiền. Một trò khá phổ biến nhưng vẫn hiệu quả là tội phạm giả vờ bị kẹt lại ở nước nào đó và nhờ bạn bè của nạn nhân gửi tiền sang. 

      Các nạn nhân thường không biết tài khoản của họ đã bị hacker chiếm đoạt, nhưng theo Google có nhiều cách để điều này có thể xảy ra. Tên và  mật khẩu của người dùng thường bị ăn cắp trong các cuộc tấn công mạo danh (phishing attack) hoặc thông qua phần mềm ghi lại những gì người dùng gõ trên máy tính. Thỉnh thoảng tội phạm mạng còn tấn công vào cả những website liên kết đến các tài khoản của Google. “Nếu trang web đó bị hack và thông tin đăng nhập của bạn bị chúng phát hiện, những kẻ tấn công có thể dễ dàng truy cập vào tài khoản Google của bạn”, Priya Nayak, chuyên gia bảo mật của Google viết trên blog. 

      Bên cạnh đó, hacker có thể đoán hoặc dò được mật khẩu. “Bạn sử dụng những mật khẩu dễ đoán như dùng tên và ngày sinh (laural1980) hoặc bạn đưa ra câu trả lời cho câu hỏi bí mật quá phổ biến và dễ đoán, như ‘pizza’ cho câu hỏi ‘Món ăn yêu thích của bạn là gì’”, Priya Nayak viết. 

      Thay đổi mật khẩu và sử dụng mật khẩu khó đoán có thể cản trở nhiều mánh khóe của hacker. 

      Chuyên gia Andrew Brandt của hãng bảo mật Webroot cho rằng lời khuyên  đổi mật khẩu 2 lần mỗi năm của Google là hợp lý.  Ông cho rằng mọi người dùng Internet nên thay đổi mật thường xuyên hơn nếu có thể. “Tôi đổi mật khẩu ít nhất 4 lần mỗi năm nhưng tôi là chuyên gia về bảo mật và sử dụng phần mềm quản lý mật khẩu để tạo ra các mật khẩu và nhắc nhở tôi thay đổi”. 

      Andrew Brandt sử dụng phần mềm quản lý mật khẩu tích hợp trong phần mềm bảo mật thương mại của Webroot nhưng cũng có nhiều phần mềm tương tự miễn phí. LastPass và Keepass là hai lựa chọn phổ biến. 

      Ngoài việc đổi mật khẩu, Google cho rằng người dùng nên sử dụng mật khẩu khác nhau cho các tài khoản quan trọng, kể cả với những người dùng phần mềm quản lý mật khẩu. 

      “Các tài khoản trực tuyến dùng chung mật khẩu giống như những dãy Đôminô”, Priya Nayak viết. “Khi đổ, nó cũng sẽ kéo cả những cái khác đổ theo. Đó là lý do bạn nên chọn những mật khẩu duy nhất cho những tài khoản quan trọng như Gmail, ngân hàng, các trang thương mại điện tử và mạng xã hội”.