Google har offentliggjort "Hvor effektiv er grundlæggende kontohygiejne til at forhindre kontotyveri" om, hvad en kontoejer kan gøre for at forhindre, at den bliver stjålet af kriminelle. Vi præsenterer dig for en oversættelse af denne undersøgelse.
Sandt nok var den mest effektive metode, som bruges af Google selv, ikke inkluderet i rapporten. Jeg måtte selv skrive om denne metode til sidst.
Hver dag beskytter vi brugere mod hundredtusindvis af kontohackingforsøg. kommer fra automatiserede bots med adgang til tredjeparts password cracking-systemer, men phishing og målrettede angreb er også til stede. Tidligere fortalte vi hvordan , såsom tilføjelse af et telefonnummer, kan hjælpe dig med at være sikker, men nu vil vi bevise det i praksis.
Et phishing-angreb er et forsøg på at narre en bruger til frivilligt at give angriberen oplysninger, som vil være nyttige i hackingprocessen. For eksempel ved at kopiere grænsefladen til en juridisk applikation.
Angreb ved hjælp af automatiserede bots er massive hackingforsøg, der ikke er rettet mod specifikke brugere. Udføres normalt ved hjælp af offentligt tilgængelig software og kan bruges selv af utrænede "crackere". Angribere ved intet om karakteristika for specifikke brugere - de starter simpelthen programmet og "fanger" alle de dårligt beskyttede videnskabelige optegnelser rundt omkring.
Målrettede angreb er hacking af specifikke konti, hvor der indsamles yderligere oplysninger om hver konto og dens ejer, forsøg på at opsnappe og analysere trafik, samt brug af mere komplekse hackingværktøjer er mulige.
(Oversætterens bemærkning)
Vi gik sammen med forskere fra New York University og University of California for at finde ud af, hvor effektiv grundlæggende kontohygiejne er til at forhindre kontokapring.
Årlig undersøgelse vedr и blev præsenteret onsdag på et møde mellem eksperter, politikere og brugere .
Vores forskning viser, at blot tilføjelse af et telefonnummer til din Google-konto kan blokere op til 100 % af automatiserede botangreb, 99 % af bulk-phishing-angreb og 66 % af målrettede angreb i vores undersøgelse.
Automatisk proaktiv Google-beskyttelse mod kontokapring
Vi implementerer automatisk proaktiv beskyttelse for bedre at beskytte alle vores brugere mod kontohacking. Sådan fungerer det: Hvis vi opdager et mistænkeligt loginforsøg (for eksempel fra en ny placering eller enhed), vil vi bede om yderligere bevis for, at det virkelig er dig. Denne bekræftelse kan være at bekræfte, at du har adgang til et betroet telefonnummer, eller besvare et spørgsmål, som kun du kender det rigtige svar på.
Hvis du er logget ind på din telefon eller har angivet et telefonnummer i dine kontoindstillinger, kan vi levere det samme sikkerhedsniveau som totrinsbekræftelse. Vi fandt ud af, at en SMS-kode sendt til et telefonnummer til gendannelse hjalp med at blokere 100 % af automatiserede bots, 96 % af bulk-phishing-angreb og 76 % af målrettede angreb. Og enhedens meddelelser om at bekræfte en transaktion, en mere sikker erstatning for SMS, hjalp med at forhindre 100 % af automatiserede bots, 99 % af masse-phishing-angreb og 90 % af målrettede angreb.
Beskyttelse baseret på både enhedsejerskab og viden om visse fakta hjælper med at modvirke automatiserede bots, mens enhedsejerskabsbeskyttelse hjælper med at forhindre phishing og endda målrettede angreb.
Hvis du ikke har oprettet et telefonnummer på din konto, kan vi bruge svagere sikkerhedsteknikker baseret på, hvad vi ved om dig, såsom hvor du sidst loggede ind på din konto. Dette fungerer godt mod bots, men niveauet af beskyttelse mod phishing kan falde til 10%, og der er stort set ingen beskyttelse mod målrettede angreb. Dette skyldes, at phishing-sider og målrettede angribere kan tvinge dig til at afsløre yderligere oplysninger, som Google måtte bede om bekræftelse.
I betragtning af fordelene ved en sådan beskyttelse, kan man spørge, hvorfor vi ikke kræver det for hvert login. Svaret er, at det ville skabe yderligere kompleksitet for brugerne (især for uforberedte - ca. oversættelse.) og ville øge risikoen for kontosuspendering. Eksperimentet viste, at 38 % af brugerne ikke havde adgang til deres telefon, når de loggede ind på deres konto. Yderligere 34 % af brugerne kunne ikke huske deres sekundære e-mailadresse.
Hvis du har mistet adgangen til din telefon eller ikke kan logge ind, kan du altid vende tilbage til den pålidelige enhed, du tidligere loggede ind fra, for at få adgang til din konto.
Forstå hack-for-hire-angreb
Hvor de fleste automatiserede beskyttelser blokerer de fleste bots og phishing-angreb, bliver målrettede angreb mere skadelige. Som en del af vores løbende bestræbelser på at , identificerer vi konstant nye kriminelle hacking-for-hire-grupper, der i gennemsnit opkræver $750 for at hacke én konto. Disse angribere er ofte afhængige af phishing-e-mails, der efterligner familiemedlemmer, kolleger, embedsmænd eller endda Google. Hvis målet ikke giver op ved det første phishingforsøg, fortsætter efterfølgende angreb i mere end en måned.
Et eksempel på et man-in-the-middle-phishing-angreb, der verificerer rigtigheden af en adgangskode i realtid. Phishing-siden beder derefter ofrene om at indtaste SMS-godkendelseskoder for at få adgang til ofrets konto.
Vi vurderer, at kun én ud af en million brugere er i denne høje risiko. Angribere retter sig ikke mod tilfældige personer. Selvom forskning viser, at vores automatiske beskyttelse kan hjælpe med at forsinke og endda forhindre op til 66 % af de målrettede angreb, vi har undersøgt, anbefaler vi stadig, at højrisikobrugere registrerer sig hos vores . Som det blev observeret under vores undersøgelse, bruger brugere, der udelukkende bruger sikkerhedsnøgler (det vil sige to-trins autentificering ved hjælp af koder sendt til brugere - ca. oversættelse), er blevet ofre for spyd-phishing.
Brug lidt tid på at beskytte din konto
Du bruger sikkerhedsseler til at beskytte liv og lemmer, mens du rejser i biler. Og med hjælp fra vores du kan sikre din kontos sikkerhed.
Vores forskning viser, at en af de nemmeste ting, du kan gøre for at beskytte din Google-konto, er at oprette et telefonnummer. For højrisikobrugere såsom journalister, samfundsaktivister, virksomhedsledere og politiske kampagnehold, vores program vil være med til at sikre det højeste sikkerhedsniveau. Du kan også beskytte dine ikke-Google-konti mod adgangskodehack ved at installere udvidelsen .
Det er interessant, at Google ikke følger de råd, det giver sine brugere. for to-faktor autentificering for mere end 85 af sine medarbejdere. Ifølge repræsentanter for virksomheden er der ikke registreret et eneste kontotyveri siden begyndelsen af at bruge hardware-tokens. Sammenlign med tallene i denne rapport. Det er således klart, at brugen af hardware tokens til to-faktor autentificering den eneste pålidelige måde at beskytte både konti og oplysninger (og i nogle tilfælde også penge).
For at beskytte Google-konti bruger vi f.eks. tokens oprettet i henhold til FIDO U2F-standarden . Og til to-faktor-godkendelse i Windows, Linux og MacOS operativsystemer, .
(Oversætterens bemærkning)
Kilde: www.habr.com