لقد نشرت جوجل "ما مدى فعالية النظافة الأساسية للحساب في منع سرقة الحساب" حول ما يمكن أن يفعله مالك الحساب لمنع سرقته من قبل المجرمين. نقدم انتباهكم إلى ترجمة هذه الدراسة.
صحيح أن الطريقة الأكثر فعالية، والتي تستخدمها جوجل نفسها، لم يتم تضمينها في التقرير. كان علي أن أكتب عن هذه الطريقة بنفسي في النهاية.
نقوم كل يوم بحماية المستخدمين من مئات الآلاف من محاولات اختراق الحسابات. يأتي من برامج الروبوت الآلية التي تتمتع بإمكانية الوصول إلى أنظمة اختراق كلمات المرور التابعة لجهات خارجية، ولكن هناك أيضًا هجمات تصيد احتيالي وهجمات مستهدفة. سابقا قلنا كيف ، مثل إضافة رقم هاتف، يمكن أن تساعدك على البقاء آمنًا، لكننا نريد الآن إثبات ذلك عمليًا.
هجوم التصيد الاحتيالي هو محاولة لخداع المستخدم ليقدم للمهاجم طوعًا معلومات ستكون مفيدة في عملية القرصنة. على سبيل المثال، عن طريق نسخ واجهة التطبيق القانوني.
الهجمات التي تستخدم الروبوتات الآلية هي محاولات اختراق واسعة النطاق لا تستهدف مستخدمين محددين. يتم تنفيذه عادةً باستخدام برامج متاحة للعامة ويمكن استخدامه حتى بواسطة "المتسللين" غير المدربين. لا يعرف المهاجمون شيئًا عن خصائص مستخدمين محددين، فهم ببساطة يقومون بتشغيل البرنامج و"التقاط" جميع السجلات العلمية ذات الحماية الضعيفة الموجودة حوله.
الهجمات المستهدفة هي اختراق حسابات محددة، حيث يتم جمع معلومات إضافية حول كل حساب وصاحبه، ومحاولات اعتراض حركة المرور وتحليلها، بالإضافة إلى إمكانية استخدام أدوات قرصنة أكثر تعقيدًا.
(ملاحظة المترجم)
لقد تعاونا مع باحثين من جامعة نيويورك وجامعة كاليفورنيا لمعرفة مدى فعالية النظافة الأساسية للحساب في منع سرقة الحساب.
الدراسة السنوية حول и تم تقديمه يوم الأربعاء في اجتماع دعا إليه الخبراء وصناع السياسات والمستخدمون .
يُظهر بحثنا أن مجرد إضافة رقم هاتف إلى حسابك في Google يمكن أن يحظر ما يصل إلى 100% من هجمات الروبوت الآلية، و99% من هجمات التصيد الاحتيالي المجمعة، و66% من الهجمات المستهدفة في تحقيقاتنا.
حماية Google الاستباقية التلقائية ضد اختطاف الحساب
نحن ننفذ حماية استباقية تلقائية لحماية جميع مستخدمينا بشكل أفضل من اختراق الحسابات. وإليك كيفية العمل: إذا اكتشفنا محاولة تسجيل دخول مشبوهة (على سبيل المثال، من موقع أو جهاز جديد)، فسنطلب دليلاً إضافيًا يثبت هويتك بالفعل. يمكن أن يكون هذا التأكيد بمثابة التحقق من إمكانية وصولك إلى رقم هاتف موثوق به، أو الإجابة على سؤال لا أحد سواك يعرف إجابته الصحيحة.
إذا قمت بتسجيل الدخول إلى هاتفك أو قدمت رقم هاتف في إعدادات حسابك، فيمكننا توفير نفس مستوى الأمان الذي توفره عملية التحقق المكونة من خطوتين. لقد وجدنا أن رمز الرسائل القصيرة الذي تم إرساله إلى رقم هاتف الاسترداد ساعد في حظر 100% من برامج الروبوت الآلية، و96% من هجمات التصيد الاحتيالي المجمعة، و76% من الهجمات المستهدفة. وساعدت مطالبة الجهاز بتأكيد المعاملة، وهو بديل أكثر أمانًا للرسائل النصية القصيرة، في منع 100% من الروبوتات الآلية، و99% من هجمات التصيد الاحتيالي الجماعية، و90% من الهجمات المستهدفة.
تساعد الحماية المستندة إلى ملكية الجهاز ومعرفة بعض الحقائق في مكافحة الروبوتات الآلية، بينما تساعد حماية ملكية الجهاز على منع التصيد الاحتيالي وحتى الهجمات المستهدفة.
إذا لم يكن لديك رقم هاتف تم إعداده في حسابك، فقد نستخدم تقنيات أمان أضعف بناءً على ما نعرفه عنك، مثل آخر مكان قمت فيه بتسجيل الدخول إلى حسابك. يعمل هذا بشكل جيد ضد الروبوتات، لكن مستوى الحماية ضد التصيد الاحتيالي يمكن أن ينخفض إلى 10%، ولا توجد حماية تقريبًا ضد الهجمات المستهدفة. وذلك لأن صفحات التصيد الاحتيالي والمهاجمين المستهدفين قد يجبرونك على الكشف عن أي معلومات إضافية قد تطلبها Google للتحقق منها.
ونظرًا لفوائد هذه الحماية، قد يتساءل المرء لماذا لا نطلبها في كل تسجيل دخول. الجواب هو أنه سيخلق تعقيدًا إضافيًا للمستخدمين (خاصة بالنسبة لغير المستعدين - تقريبًا. ترجمة.) ومن شأنه أن يزيد من خطر تعليق الحساب. وجدت التجربة أن 38% من المستخدمين لم يتمكنوا من الوصول إلى هواتفهم عند تسجيل الدخول إلى حساباتهم. لم يتمكن 34% من المستخدمين من تذكر عنوان بريدهم الإلكتروني الثانوي.
إذا فقدت إمكانية الوصول إلى هاتفك أو لم تتمكن من تسجيل الدخول، فيمكنك دائمًا العودة إلى الجهاز الموثوق به الذي قمت بتسجيل الدخول منه مسبقًا للوصول إلى حسابك.
فهم هجمات الاختراق مقابل الاستئجار
حيث تقوم معظم وسائل الحماية الآلية بحظر معظم هجمات الروبوتات والتصيد الاحتيالي، تصبح الهجمات المستهدفة أكثر ضررًا. كجزء من جهودنا المستمرة ل ، نحن نعمل باستمرار على تحديد مجموعات إجرامية جديدة للقرصنة مقابل أجر والتي تتقاضى ما متوسطه 750 دولارًا لاختراق حساب واحد. يعتمد هؤلاء المهاجمون غالبًا على رسائل البريد الإلكتروني التصيدية التي تنتحل هوية أفراد العائلة أو الزملاء أو المسؤولين الحكوميين أو حتى Google. إذا لم يستسلم الهدف في محاولة التصيد الأولى، فستستمر الهجمات اللاحقة لأكثر من شهر.
مثال على هجوم التصيد الاحتيالي الذي يتحقق من صحة كلمة المرور في الوقت الفعلي. ثم تطالب صفحة التصيد الاحتيالي الضحايا بإدخال رموز المصادقة عبر الرسائل النصية القصيرة للوصول إلى حساب الضحية.
وتشير تقديراتنا إلى أن واحدًا فقط من بين كل مليون مستخدم معرض لهذا الخطر الكبير. لا يستهدف المهاجمون أشخاصًا عشوائيين. في حين تظهر الأبحاث أن وسائل الحماية التلقائية لدينا يمكن أن تساعد في تأخير وحتى منع ما يصل إلى 66% من الهجمات المستهدفة التي قمنا بدراستها، إلا أننا لا نزال نوصي المستخدمين ذوي المخاطر العالية بالتسجيل في موقعنا . كما لوحظ أثناء التحقيق الذي أجريناه، فإن المستخدمين الذين يستخدمون مفاتيح الأمان حصريًا (أي مصادقة من خطوتين باستخدام الرموز المرسلة إلى المستخدمين - تقريبًا. ترجمة)، أصبحوا ضحايا التصيد الاحتيالي.
خذ بعض الوقت لحماية حسابك
تستخدم أحزمة الأمان لحماية الحياة والأطراف أثناء السفر في السيارة. وبمساعدة لدينا يمكنك التأكد من أمان حسابك.
يوضح بحثنا أن أحد أسهل الأشياء التي يمكنك القيام بها لحماية حسابك على Google هو إعداد رقم هاتف. بالنسبة للمستخدمين المعرضين للخطر مثل الصحفيين ونشطاء المجتمع وقادة الأعمال وفرق الحملات السياسية، فإن برنامجنا سيساعد على ضمان أعلى مستوى من الأمان. يمكنك أيضًا حماية حساباتك غير التابعة لشركة Google من اختراق كلمات المرور عن طريق تثبيت الامتداد .
ومن المثير للاهتمام أن جوجل لا تتبع النصائح التي تقدمها لمستخدميها. للمصادقة الثنائية لأكثر من 85 من موظفيها. وفقًا لممثلي الشركة، منذ بدء استخدام الرموز المميزة للأجهزة، لم يتم تسجيل أي سرقة للحساب. قارن مع الأرقام الواردة في هذا التقرير. وبالتالي فمن الواضح أن استخدام الأجهزة الرموز للمصادقة الثنائية الطريقة الوحيدة الموثوقة للحماية الحسابات والمعلومات (وفي بعض الحالات الأموال أيضًا).
لحماية حسابات Google، نستخدم الرموز المميزة التي تم إنشاؤها وفقًا لمعيار FIDO U2F، على سبيل المثال . وللمصادقة الثنائية في أنظمة التشغيل Windows وLinux وMacOS، .
(ملاحظة المترجم)
المصدر: www.habr.com