Was müssen Sie tun, damit Ihr Google-Konto nicht gestohlen wird?

Was müssen Sie tun, damit Ihr Google-Konto nicht gestohlen wird?

Die Google-Korporation hat veröffentlicht Untersuchung „Wie effektiv ist die grundlegende Kontohygiene zur Verhinderung von Kontodiebstahl?“ Darin wird erläutert, was Kontoinhaber tun können, um zu verhindern, dass ihre Konten von Angreifern gestohlen werden. Hier präsentieren wir die Übersetzung dieser Studie.
Allerdings wurde die effektivste Methode, die bei Google selbst verwendet wird, im Bericht nicht aufgenommen. Daher musste ich selbst am Ende darüber schreiben.

Jeden Tag schützen wir Nutzer vor Hunderttausenden von Konto-Hackversuchen. Die meisten Angriffe gehen von automatisierten Bots aus, die Zugang zu externen Passwort-Hacksystemen haben, es gibt aber auch Phishing- und gezielte Angriffe. Zuvor haben wir erzählt, wie bereits fünf einfache Schritte, wie die Hinzufügung einer Telefonnummer, Ihnen helfen können, sich selbst zu schützen, aber nun möchten wir dies praktisch beweisen.

Ein Phishing-Angriff ist ein Versuch, den Nutzer so zu täuschen, dass er freiwillig Informationen an den Angreifer weitergibt, die im Hackprozess nützlich sein werden. Zum Beispiel durch das Kopieren der Benutzeroberfläche einer legitimen Anwendung.

Angriffe durch automatische Bots sind massenhafte Versuche, in Konten einzudringen, die nicht auf spezifische Benutzer abzielen. Diese erfolgen meist mithilfe von öffentlich zugänglicher Software und sind sogar für ungeübte "Hacker" nutzbar. Die Angreifer haben keine Kenntnisse über die Besonderheiten einzelner Benutzer – sie starten einfach das Programm und "fangen" alle schlecht geschützten Konten in der Umgebung.

Bei gezielten Angriffen handelt es sich um das Hacking spezifischer Konten, wobei zusätzliche Informationen über jedes Konto und dessen Besitzer gesammelt werden. Mögliche Versuche umfassen das Abfangen und Analysieren von Datenverkehr sowie den Einsatz komplexerer Hacking-Tools.

(Hinweis des Übersetzers)

Wir haben uns mit Forschern der New York University und der University of California zusammengeschlossen, um herauszufinden, wie effektiv grundlegende Sicherheitsvorkehrungen bei Konten deren "Entführung" verhindern.

Jährliche Studie zu umfangreichen und gezielten Angriffen wurde am Mittwoch auf einer Versammlung von Experten, Politikern und Nutzern vorgestellt, die den Titel The Web Conference.
Unsere Untersuchungen zeigen, dass das einfache Hinzufügen einer Telefonnummer zu Ihrem Google-Konto bis zu 100 % der Angriffe durch automatische Bots, 99 % der Massenphishing-Angriffe und 66 % der gezielten Angriffe, die in unserer Untersuchung festgestellt wurden, blockieren kann.

Automatischer proaktiver Schutz von Google gegen Account-Diebstahl

Wir implementieren automatischen proaktiven Schutz, um alle unsere Nutzer besser vor Account-Hacks zu schützen. So funktioniert es: Wenn wir einen verdächtigen Anmeldeversuch erkennen (zum Beispiel von einem neuen Ort oder Gerät), fordern wir zusätzliche Nachweise an, dass Sie tatsächlich derjenige sind, für den Sie sich ausgeben. Dieser Nachweis kann die Kontrolle beinhalten, dass Sie Zugang zu einem vertrauenswürdigen Telefon haben, oder die Beantwortung einer Frage, auf die nur Sie die richtige Antwort wissen.

Wenn Sie auf Ihrem Telefon angemeldet sind oder Ihre Telefonnummer in den Kontoeinstellungen angegeben haben, können wir den gleichen Schutz wie bei der Zwei-Faktor-Authentifizierung gewährleisten. Wir haben festgestellt, dass der per SMS gesendete Wiederherstellungscode 100 % der automatisierten Bots, 96 % der Massenphishing-Angriffe und 76 % der gezielten Angriffe erfolgreich blockiert hat. Zudem haben Anfragen auf dem Gerät zur Bestätigung von Aktionen, die eine sicherere Alternative zu SMS darstellen, 100 % der automatisierten Bots, 99 % der Massenphishing-Angriffe und 90 % der gezielten Angriffe verhindert.

Was müssen Sie tun, damit Ihr Google-Konto nicht gestohlen wird?

Ein Schutz, der sowohl auf dem Besitz bestimmter Geräte als auch auf dem Wissen über bestimmte Fakten basiert, hilft, automatisierte Bots abzuwehren, während der Schutz, der ausschließlich auf dem Besitz bestimmter Geräte beruht, gegen Phishing und sogar gezielte Angriffe schützt.

Wenn in Ihrem Konto keine Telefonnummer hinterlegt ist, sind wir gezwungen, weniger sichere Methoden zum Schutz Ihrer Daten anzuwenden, die auf Ihrem Wissen beruhen, wie zum Beispiel den Ort Ihres letzten Logins. Diese Methoden sind effektiv gegen Bots, jedoch kann die Phishing-Schutzstufe auf bis zu 10% sinken, und das Risiko bei gezielten Angriffen ist praktisch nicht vorhanden. Dies geschieht, weil Phishing-Seiten und Angreifer bei gezielten Angriffen Sie dazu bringen können, jede zusätzliche Information preiszugeben, die Google für die Verifizierung anfordern könnte.

Angesichts der Vorteile eines solchen Schutzes könnte man fragen, warum wir nicht verlangen, dass er bei jedem Login verwendet wird. Die Antwort darauf ist, dass dies zusätzliche Schwierigkeiten für die Benutzer schaffen würde (insbesondere für unerfahrene Benutzer — Anm. d. Übers.). In einer Untersuchung stellte sich heraus, dass 38% der Nutzer keinen Zugriff auf ihr Telefon hatten, wenn sie sich in ihr Konto einloggen wollten. 34% der Benutzer konnten sich zudem nicht an ihre alternative E-Mail-Adresse erinnern.

Wenn Sie den Zugang zu Ihrem Telefon verloren haben oder sich nicht anmelden können, können Sie jederzeit auf ein vertrauenswürdiges Gerät zurückgreifen, von dem Sie zuvor auf Ihr Konto zugegriffen haben.

Verstehen von "Hacking auf Bestellung"-Angriffen

Während die meisten automatischen Schutzmaßnahmen die meisten Bots und Phishing-Angriffe blockieren, werden gezielte Angriffe immer schädlicher. Im Rahmen unserer kontinuierlichen Bemühungen um Bedrohungsmonitoring für Hackerangriffeentdecken wir ständig neue kriminelle Gruppen von "Hackern auf Bestellung", die im Durchschnitt 750 US-Dollar für den Hack eines einzelnen Kontos verlangen. Diese Angreifer verlassen sich oft auf Phishing-E-Mails, die sich als Familienmitglieder, Kollegen, Regierungsbeamte oder sogar Google ausgeben. Wenn das Ziel bei dem ersten Phishing-Versuch nicht nachgibt, setzen die anschließenden Angriffe über einen Zeitraum von mehr als einem Monat fort.

Was müssen Sie tun, damit Ihr Google-Konto nicht gestohlen wird?
Beispiel eines "Man-in-the-Middle"-Phishing-Angriffs, der das Passwort in Echtzeit überprüft. Anschließend wird den Opfern auf der Phishing-Seite angeboten, SMS-Authentifizierungscodes einzugeben, um Zugang zum Konto des Opfers zu erhalten.

Nach unseren Schätzungen ist nur einer von einer Million Nutzern einem so hohen Risiko ausgesetzt. Angreifer richten sich nicht gegen zufällige Personen. Obwohl Untersuchungen zeigen, dass unser automatisierter Schutz bis zu 66 % der gezielten Angriffe, die wir untersucht haben, aufhalten oder sogar verhindern kann, empfehlen wir dennoch, dass Nutzer mit hohem Risiko sich in unser Zusatzschutzprogrammeinschreiben. Während unserer Ermittlungen stellte sich heraus, dass Nutzer, die ausschließlich Sicherheitskeys verwenden (also – die Zwei-Faktor-Authentifizierung durch zugesendete Codes – Anm. d. Ü.), Opfer gezielter Phishing-Angriffe wurden.

Nehmen Sie sich etwas Zeit, um Ihr Konto zu schützen

Sie verwenden Sicherheitsgurte zum Schutz Ihres Lebens und Ihrer Gesundheit während Autofahrten. Mit unseren fünf Tipps können Sie die Sicherheit Ihres Kontos gewährleisten.

Unsere Studien zeigen, dass eine der einfachsten Maßnahmen zum Schutz Ihres Google-Kontos das Festlegen einer Telefonnummer ist. Für Nutzer mit hohem Risiko, wie Journalisten, soziale Aktivisten, Geschäftsführern und politischen Kampagnenteams, bietet unser Programm Advanced Protection den höchsten Sicherheitsstandard. Zudem können Sie Ihre Konten bei Drittanbietern (nicht Google) vor Passwortdiebstahl schützen, indem Sie die Erweiterung Chrome Password Checkup.

installieren. Interessanterweise folgt Google nicht den Ratschlägen, die es seinen Nutzern selbst gibt. Google verwendet Hardware-Token für die Zwei-Faktor-Authentifizierung von über 85.000 seiner Mitarbeiter. Berichten zufolge gab es seit der Einführung der Hardware-Token keinen einzigen Vorfall von Kontodiebstahl. Vergleichen Sie diese Zahlen mit den in diesem Bericht vorgestellten. So wird deutlich, dass die Verwendung von Hardware- Token für die Zwei-Faktor-Authentifizierung der einzige zuverlässige Weg ist, um sowohl Konten als auch Informationen (und in einigen Fällen auch Geld) zu schützen. sowohl für Konten als auch für Informationen (und in einigen Fällen sogar für Geld).

Zur Sicherung von Google-Konten werden Token verwendet, die nach dem FIDO U2F-Standard erstellt wurden, zum Beispiel so. Und für die Zwei-Faktor-Authentifizierung in den Betriebssystemen Windows, Linux und MacOS kommen kryptografische Token.

(Hinweis des Übersetzers)

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster