Google zveřejnil „Jak účinná je základní hygiena účtu při prevenci krádeže účtu“ o tom, co může vlastník účtu udělat, aby zabránil jeho odcizení zločinci. Předkládáme vám překlad této studie.
Pravda, nejúčinnější metoda, kterou používá samotný Google, do zprávy zahrnuta nebyla. O této metodě jsem musel na konci napsat sám.
Každý den chráníme uživatele před stovkami tisíc pokusů o hacknutí účtu. pochází od automatických botů s přístupem k systémům pro prolomení hesel třetích stran, ale nechybí ani phishing a cílené útoky. Dříve jsme si řekli jak , jako je přidání telefonního čísla, vám může pomoci zůstat v bezpečí, ale nyní to chceme dokázat v praxi.
Phishingový útok je pokus přimět uživatele, aby dobrovolně poskytl útočníkovi informace, které budou užitečné v procesu hackování. Například zkopírováním rozhraní právní aplikace.
Útoky pomocí automatizovaných botů jsou masivní pokusy o hackování, které nejsou zaměřeny na konkrétní uživatele. Obvykle se provádí pomocí veřejně dostupného softwaru a mohou jej používat i netrénovaní „crackeri“. Útočníci nevědí nic o vlastnostech konkrétních uživatelů – jednoduše spustí program a „chytí“ všechny špatně chráněné vědecké záznamy kolem.
Cílené útoky jsou hackování konkrétních účtů, při kterém se shromažďují další informace o každém účtu a jeho vlastníkovi, jsou možné pokusy o zachycení a analýzu provozu a také použití složitějších hackerských nástrojů.
(poznámka překladatele)
Spojili jsme se s výzkumníky z New York University a University of California, abychom zjistili, jak účinná je základní hygiena účtu při prevenci krádeže účtu.
Roční studie o и byl představen ve středu na setkání odborníků, tvůrců politik a uživatelů tzv .
Náš výzkum ukazuje, že pouhé přidání telefonního čísla do vašeho účtu Google může zablokovat až 100 % automatických útoků botů, 99 % hromadných phishingových útoků a 66 % cílených útoků v našem vyšetřování.
Automatická proaktivní ochrana Google proti krádeži účtu
Implementujeme automatickou proaktivní ochranu, abychom lépe chránili všechny naše uživatele před hackováním účtů. Funguje to takto: Pokud zjistíme podezřelý pokus o přihlášení (například z nového místa nebo zařízení), požádáme vás o další důkaz, že jste to skutečně vy. Tímto potvrzením může být ověření, že máte přístup k důvěryhodnému telefonnímu číslu, nebo zodpovězení otázky, na kterou znáte správnou odpověď pouze vy.
Pokud jste přihlášeni do telefonu nebo jste uvedli telefonní číslo v nastavení účtu, můžeme poskytnout stejnou úroveň zabezpečení jako dvoufázové ověření. Zjistili jsme, že SMS kód odeslaný na telefonní číslo pro obnovení pomohl zablokovat 100 % automatizovaných robotů, 96 % hromadných phishingových útoků a 76 % cílených útoků. A výzvy zařízení k potvrzení transakce, bezpečnější náhrada za SMS, pomohly zabránit 100 % automatizovaných botů, 99 % hromadných phishingových útoků a 90 % cílených útoků.
Ochrana založená na vlastnictví zařízení a znalosti určitých skutečností pomáhá čelit automatizovaným robotům, zatímco ochrana vlastnictví zařízení pomáhá předcházet phishingu a dokonce i cíleným útokům.
Pokud ve svém účtu nemáte nastavené telefonní číslo, můžeme použít slabší bezpečnostní techniky na základě toho, co o vás víme, například kde jste se ke svému účtu naposledy přihlásili. To funguje dobře proti botům, ale úroveň ochrany proti phishingu může klesnout až na 10 % a prakticky neexistuje žádná ochrana proti cíleným útokům. Je to proto, že phishingové stránky a cílení útočníci vás mohou donutit prozradit jakékoli další informace, které si Google může vyžádat ověření.
Vzhledem k výhodám takové ochrany by se někdo mohl ptát, proč ji nepožadujeme při každém přihlášení. Odpověď zní, že by to pro uživatele vytvořilo další složitost (zejména pro nepřipravené - cca. překlad.) a zvýšilo by se riziko pozastavení účtu. Experiment zjistil, že 38 % uživatelů nemělo při přihlašování ke svému účtu přístup ke svému telefonu. Dalších 34 % uživatelů si nemohlo vzpomenout na svou sekundární e-mailovou adresu.
Pokud jste ztratili přístup k telefonu nebo se nemůžete přihlásit, můžete se kdykoli vrátit do důvěryhodného zařízení, ze kterého jste se dříve přihlásili, a získat přístup ke svému účtu.
Pochopení útoků typu hack-for-hire
Tam, kde většina automatizovaných ochran blokuje většinu botů a phishingových útoků, jsou cílené útoky škodlivější. V rámci našeho trvalého úsilí o , neustále identifikujeme nové kriminální hacking-for-hire skupiny, které si účtují v průměru 750 $ za hacknutí jednoho účtu. Tito útočníci často spoléhají na phishingové e-maily, které se vydávají za členy rodiny, kolegy, vládní úředníky nebo dokonce Google. Pokud se cíl nevzdá při prvním pokusu o phishing, další útoky pokračují déle než měsíc.
Příklad phishingového útoku typu man-in-the-middle, který ověřuje správnost hesla v reálném čase. Phishingová stránka poté vyzve oběti k zadání ověřovacích SMS kódů pro přístup k účtu oběti.
Odhadujeme, že takto vysoké riziko je vystaven pouze jednomu z milionu uživatelů. Útočníci se nezaměřují na náhodné lidi. Přestože výzkumy ukazují, že naše automatizované ochrany mohou pomoci oddálit a dokonce zabránit až 66 % cílených útoků, které jsme studovali, stále doporučujeme, aby se vysoce rizikoví uživatelé registrovali u našeho . Jak bylo zjištěno během našeho šetření, uživatelé, kteří používají výhradně bezpečnostní klíče (tedy dvoufázové ověření pomocí kódů zaslaných uživatelům - cca. překlad), se stali obětí spear phishingu.
Věnujte trochu času ochraně svého účtu
Při cestování v autech používáte bezpečnostní pásy k ochraně života a zdraví. A s pomocí naší můžete zajistit bezpečnost svého účtu.
Náš průzkum ukazuje, že jednou z nejjednodušších věcí, které můžete udělat pro ochranu svého účtu Google, je nastavit si telefonní číslo. Náš program je určen pro vysoce rizikové uživatele, jako jsou novináři, komunitní aktivisté, obchodní vedoucí a týmy politických kampaní pomůže zajistit nejvyšší úroveň zabezpečení. Instalací rozšíření můžete také chránit své účty mimo Google před hackováním hesel .
Je zajímavé, že se Google neřídí radami, které dává svým uživatelům. pro dvoufaktorovou autentizaci pro více než 85 000 svých zaměstnanců. Podle zástupců korporace nebyla od začátku používání hardwarových tokenů zaznamenána ani jedna krádež účtu. Porovnejte s čísly uvedenými v této zprávě. Je tedy jasné, že použití hardwaru žetony pro dvoufaktorovou autentizaci jediný spolehlivý způsob ochrany jak účty, tak informace (a v některých případech i peníze).
K ochraně účtů Google používáme tokeny vytvořené například podle standardu FIDO U2F . A pro dvoufaktorovou autentizaci v operačních systémech Windows, Linux a MacOS, .
(poznámka překladatele)
Zdroj: www.habr.com