Google hà publicatu "Quantu efficace hè l'igiene di basa di u contu in a prevenzione di u furtu di u contu" nantu à ciò chì un pruprietariu di u contu pò fà per impedisce ch'ellu sia arrubatu da i criminali. Avemu prisentatu à a vostra attenzione una traduzzione di stu studiu.
True, u metudu più efficace, chì hè utilizatu da Google stessu, ùn hè micca inclusu in u rapportu. Aviu avutu à scrive nantu à stu metudu stessu à a fine.
Ogni ghjornu prutegemu l'utilizatori da centinaie di millaie di tentativi di pirate di contu. vene da bots automatizati cù accessu à sistemi di cracking di password di terze parti, ma phishing è attacchi mirati sò ancu prisenti. Prima avemu dettu cumu , cum'è l'aghjunghje un numeru di telefunu, pò aiutà à stà sicuru, ma avà vulemu pruvà in pratica.
Un attaccu di phishing hè un tentativu di ingannà un utilizatore per dà volontariamente à l'attaccante infurmazione chì serà utile in u prucessu di pirate. Per esempiu, cupiendu l'interfaccia di una applicazione legale.
L'attacchi chì utilizanu bots automatizati sò tentativi di pirate massivu chì ùn sò micca destinati à utilizatori specifichi. Di solitu realizatu cù un software dispunibule publicamente è pò esse usatu ancu da "crackers" senza addestramentu. L'attaccanti ùn sanu nunda di e caratteristiche di l'utilizatori specifichi - simpricimenti lancianu u prugramma è "catch" tutti i registri scientifichi pocu prutetti intornu.
L'attacchi mirati sò pirate di cunti specifichi, in quale l'infurmazioni supplementari sò cullate nantu à ogni contu è u so pruprietariu, i tentativi di intercepte è analizà u trafficu, è ancu l'usu di strumenti di pirate più cumplessi sò pussibuli.
(Nota di u traduttore)
Avemu assuciatu cù circadori di l'Università di New York è l'Università di California per scopre quantu efficace l'igiene di u cuntu di basa hè per prevene u dirottamentu di u contu.
Studiu annuale circa и hè statu prisentatu u marcuri in una riunione di esperti, pulitichi è utilizatori chjamati .
A nostra ricerca mostra chì solu aghjunghje un numeru di telefunu à u vostru contu Google pò bluccà finu à u 100% di l'attacchi di bot automatizati, u 99% di l'attacchi di phishing in massa, è u 66% di l'attacchi mirati in a nostra investigazione.
Prutezzione automatica proattiva di Google contr'à u pirate di u contu
Implementemu una prutezzione proattiva automatica per prutege megliu tutti i nostri utilizatori da u pirate di u contu. Eccu cumu funziona: Se detectemu un tentativu di login suspettu (per esempiu, da un novu locu o dispositivu), dumanderemu una prova supplementaria chì hè veramente voi. Sta cunferma puderia esse verificatu chì avete accessu à un numeru di telefunu di fiducia, o risponde à una quistione à quale solu sapete a risposta curretta.
Sè avete firmatu in u vostru telefunu o furnite un numeru di telefunu in i paràmetri di u vostru contu, pudemu furnisce u listessu livellu di sicurità cum'è a verificazione in dui passi. Avemu trovu chì un codice SMS mandatu à un numeru di telefunu di ricuperazione hà aiutatu à bluccà u 100% di i bots automatizati, u 96% di l'attacchi di phishing in massa è u 76% di l'attacchi mirati. È u dispositivu prompts per cunfirmà una transazzione, un sustituzione più sicura per l'SMS, hà aiutatu à prevene u 100% di i bots automatizati, u 99% di l'attacchi di phishing di massa, è u 90% di l'attacchi mirati.
A prutezzione basata nantu à a pruprietà di u dispositivu è a cunniscenza di certi fatti aiuta à contru à i bot automatizati, mentri a prutezzione di a pruprietà di u dispositivu aiuta à prevene u phishing è ancu attacchi mirati.
Se ùn avete micca un numeru di telefunu stallatu in u vostru contu, pudemu usà tecniche di sicurezza più debuli basate nantu à ciò chì sapemu di voi, cum'è induve avete l'ultima volta in u vostru contu. Questu travaglia bè contr'à i bots, ma u livellu di prutezzione contra u phishing pò falà à u 10%, è ùn ci hè praticamenti micca prutezzione contra attacchi mirati. Questu hè chì e pagine di phishing è l'attaccanti mirati ponu furzà à revelà qualsiasi infurmazione supplementaria chì Google pò dumandà a verificazione.
Dati i benefici di una tale prutezzione, unu puderia dumandà perchè ùn l'avemu micca bisognu per ogni login. A risposta hè chì creà una cumplessità addiziale per l'utilizatori (soprattuttu per i impreparati - ca. traduzzione.) È aumentà u risicu di sospensjoni di u contu. L'esperimentu hà truvatu chì 38% di l'utilizatori ùn anu micca accessu à u so telefunu quandu accede à u so contu. Un altru 34% di l'utilizatori ùn anu micca ricurdatu u so indirizzu email secundariu.
Sè avete persu l'accessu à u vostru telefunu o ùn pudete micca accede, pudete sempre vultà à u dispusitivu di fiducia chì avete firmatu prima per accede à u vostru contu.
Capisce l'attacchi di hack-for-hire
Induve a maiò parte di e difese automatizzate bloccanu a maiò parte di i bots è l'attacchi di phishing, l'attacchi mirati diventanu più dannosi. Comu parte di i nostri sforzi continui per , simu constantemente identificà novi gruppi criminali di pirate per affittu chì caricanu una media di $ 750 per pirate un contu. Questi attacchi spessu si basanu in e-mail di phishing chì impersona membri di a famiglia, culleghi, ufficiali di u guvernu, o ancu Google. Se l'obiettivu ùn rinuncia micca à u primu tentativu di phishing, l'attacchi successivi cuntinueghjanu per più di un mesi.
Un esempiu di un attaccu di phishing man-in-the-middle chì verifica a correttezza di una password in tempu reale. A pagina di phishing poi invita i vittimi à inserisce i codici di autentificazione SMS per accede à u contu di a vittima.
Stimu chì solu unu in un milione di utilizatori hè in stu risicu altu. L'attaccanti ùn miranu micca persone casuali. Mentre a ricerca mostra chì e nostre prutezioni automatizate ponu aiutà à ritardà è ancu impediscenu finu à u 66% di l'attacchi mirati chì avemu studiatu, ricumandemu sempre chì l'utilizatori à risicu altu si registranu cù i nostri . Cumu hè statu osservatu durante a nostra investigazione, l'utilizatori chì utilizanu esclusivamente e chjave di sicurità (vale à dì l'autentificazione in dui passi cù i codici mandati à l'utilizatori - ca. traduzzione), sò diventati vittime di spear phishing.
Pigliate un pocu di tempu per prutege u vostru contu
Aduprate cinture di sicurezza per prutege a vita è l'arti mentre viaghja in vitture. È cù l'aiutu di i nostri pudete assicurà a sicurità di u vostru contu.
A nostra ricerca mostra chì una di e cose più faciuli chì pudete fà per prutege u vostru contu Google hè di stabilisce un numeru di telefunu. Per l'utilizatori à risicu altu cum'è i ghjurnalisti, l'attivisti di a cumunità, i capi di l'imprese è e squadre di campagna pulitica, u nostru prugramma aiutarà à assicurà u più altu livellu di sicurità. Pudete ancu prutegge i vostri cunti non Google da i pirate di password installendu l'estensione .
Hè interessante chì Google ùn seguita micca i cunsiglii chì dà à i so utilizatori. per l'autentificazione à dui fattori per più di 85 000 di i so impiegati. Sicondu i rapprisentanti di a corporazione, dapoi u principiu di l'usu di i tokens di hardware, ùn hè micca statu registratu un furtu di contu. Comparare cù i figuri presentati in stu rapportu. Cusì hè chjaru chì l'usu di hardware tokens per l'autentificazione à dui fattori l'unicu modu affidabile di prutezzione sia cunti è infurmazione (è in certi casi dinù soldi).
Per prutege i cunti Google, i tokens creati secondu u standard FIDO U2F sò usati, per esempiu . È per l'autentificazione à dui fattori in i sistemi operativi Windows, Linux è MacOS, .
(Nota di u traduttore)
Source: www.habr.com