Google je objavio „Koliko je efikasna osnovna higijena naloga u sprečavanju krađe naloga“ o tome šta vlasnik naloga može da uradi da spreči da ga kriminalci ukradu. Predstavljamo Vašoj pažnji prijevod ove studije.
Istina, najefikasniji metod, koji koristi sam Google, nije uključen u izvještaj. O ovoj metodi sam morao i sam da pišem na kraju.
Svakodnevno štitimo korisnike od stotina hiljada pokušaja hakovanja naloga. dolazi od automatiziranih botova s pristupom sistemima za razbijanje lozinki trećih strana, ali su prisutni i phishing i ciljani napadi. Prethodno smo rekli kako , kao što je dodavanje broja telefona, može vam pomoći da ostanete sigurni, ali sada to želimo dokazati u praksi.
Napad phishing-a je pokušaj da se prevari korisnik da dobrovoljno da napadaču informacije koje će biti korisne u procesu hakovanja. Na primjer, kopiranjem sučelja legalne aplikacije.
Napadi korištenjem automatiziranih botova su masovni pokušaji hakovanja koji nisu usmjereni na određene korisnike. Obično se provodi korištenjem javno dostupnog softvera i mogu ga koristiti čak i neobučeni „krekeri“. Napadači ne znaju ništa o karakteristikama određenih korisnika – jednostavno pokreću program i „hvataju“ sve loše zaštićene naučne zapise okolo.
Ciljani napadi su hakovanje određenih naloga, pri čemu se prikupljaju dodatne informacije o svakom nalogu i njegovom vlasniku, mogući su pokušaji presretanja i analize saobraćaja, kao i upotreba složenijih hakerskih alata.
(Napomena prevodioca)
Udružili smo se sa istraživačima sa Univerziteta u Njujorku i Univerziteta u Kaliforniji kako bismo saznali koliko je efikasna osnovna higijena naloga u sprečavanju otmice naloga.
Godišnja studija o и predstavljen je u srijedu na sastanku eksperata, kreatora politike i korisnika tzv .
Naše istraživanje pokazuje da jednostavno dodavanje telefonskog broja na vaš Google račun može blokirati do 100% automatiziranih napada botovima, 99% masovnih phishing napada i 66% ciljanih napada u našoj istrazi.
Automatska proaktivna Google zaštita od otmice računa
Implementiramo automatsku proaktivnu zaštitu kako bismo bolje zaštitili sve naše korisnike od hakovanja naloga. Evo kako to funkcionira: Ako otkrijemo sumnjiv pokušaj prijave (na primjer, s nove lokacije ili uređaja), tražit ćemo dodatni dokaz da ste to zaista vi. Ova potvrda može biti potvrda da imate pristup pouzdanom broju telefona ili odgovaranje na pitanje na koje samo vi znate tačan odgovor.
Ako ste prijavljeni na svoj telefon ili ste naveli broj telefona u postavkama svog naloga, možemo pružiti isti nivo sigurnosti kao verifikacija u dva koraka. Otkrili smo da je SMS kod poslan na broj telefona za oporavak pomogao blokiranju 100% automatiziranih botova, 96% masovnih phishing napada i 76% ciljanih napada. A upiti uređaja za potvrdu transakcije, sigurnija zamjena za SMS, pomogli su u sprječavanju 100% automatiziranih botova, 99% masovnih phishing napada i 90% ciljanih napada.
Zaštita zasnovana na vlasništvu uređaja i poznavanju određenih činjenica pomaže u borbi protiv automatiziranih botova, dok zaštita vlasništva uređaja pomaže u sprječavanju krađe identiteta, pa čak i ciljanih napada.
Ako nemate postavljen broj telefona na svom nalogu, možemo koristiti slabije sigurnosne tehnike na osnovu onoga što znamo o vama, kao što je mjesto na kojem ste zadnji put prijavljeni na svoj račun. Ovo dobro funkcioniše protiv botova, ali nivo zaštite od krađe identiteta može pasti na 10%, a praktično nema zaštite od ciljanih napada. To je zato što vas stranice za krađu identiteta i ciljani napadači mogu natjerati da otkrijete sve dodatne informacije koje Google može zatražiti za provjeru.
S obzirom na prednosti takve zaštite, moglo bi se zapitati zašto je ne zahtijevamo za svaku prijavu. Odgovor je da bi to stvorilo dodatnu složenost za korisnike (posebno za nespremne - cca. prevod.) i povećao bi rizik od suspenzije računa. Eksperiment je otkrio da 38% korisnika nije imalo pristup svom telefonu prilikom prijavljivanja na svoj račun. Još 34% korisnika se nije moglo sjetiti svoje sekundarne adrese e-pošte.
Ako ste izgubili pristup svom telefonu ili se ne možete prijaviti, uvijek se možete vratiti na pouzdani uređaj sa kojeg ste se prethodno prijavili da pristupite svom računu.
Razumijevanje hack-for-hire napada
Tamo gdje većina automatiziranih zaštita blokira većinu botova i phishing napada, ciljani napadi postaju štetniji. Kao dio naših stalnih napora da , stalno identifikujemo nove kriminalne hakerske grupe koje u prosjeku naplaćuju 750 USD za hakovanje jednog računa. Ovi napadači se često oslanjaju na phishing mejlove koji lažno predstavljaju članove porodice, kolege, vladine službenike ili čak Google. Ako meta ne odustane od prvog pokušaja phishinga, naknadni napadi se nastavljaju više od mjesec dana.
Primjer phishing napada čovjeka u sredini koji provjerava ispravnost lozinke u realnom vremenu. Stranica za phishing zatim traži od žrtava da unesu SMS autentifikacijske kodove kako bi pristupili žrtvinom računu.
Procjenjujemo da je samo jedan od milion korisnika izložen ovom visokom riziku. Napadači ne ciljaju slučajne ljude. Iako istraživanja pokazuju da naše automatizirane zaštite mogu pomoći u odlaganju, pa čak i sprječavanju do 66% ciljanih napada koje smo proučavali, i dalje preporučujemo da se visokorizični korisnici registriraju kod našeg . Kao što je uočeno tokom našeg istraživanja, korisnici koji koriste isključivo sigurnosne ključeve (odnosno autentifikacija u dva koraka korištenjem kodova koji se šalju korisnicima - cca. prevod), postali su žrtve spear phishinga.
Odvojite malo vremena da zaštitite svoj račun
Koristite sigurnosne pojaseve za zaštitu života i tijela dok putujete u automobilu. I uz pomoć naših možete osigurati sigurnost vašeg računa.
Naše istraživanje pokazuje da je jedna od najlakših stvari koje možete učiniti da zaštitite svoj Google račun postavljanje broja telefona. Za visokorizične korisnike kao što su novinari, aktivisti u zajednici, poslovni lideri i timovi političkih kampanja, naš program pomoći će da se osigura najviši nivo sigurnosti. Također možete zaštititi svoje račune koji nisu Googleovi od hakovanja lozinki instaliranjem ekstenzije .
Zanimljivo je da se Google ne pridržava savjeta koje daje svojim korisnicima. za dvofaktorsku autentifikaciju za više od 85 zaposlenih. Prema riječima predstavnika korporacije, od početka korištenja hardverskih tokena nije zabilježena niti jedna krađa računa. Uporedite sa brojkama predstavljenim u ovom izvještaju. Stoga je jasno da je upotreba hardvera tokens za dvofaktorsku autentifikaciju jedini pouzdan način zaštite i račune i informacije (a u nekim slučajevima i novac).
Za zaštitu Google naloga koristimo tokene kreirane prema FIDO U2F standardu, na primjer . A za dvofaktorsku autentifikaciju u Windows, Linux i MacOS operativnim sistemima, .
(Napomena prevodioca)
izvor: www.habr.com