Google hat veröffentlicht „Wie effektiv ist die grundlegende Kontohygiene bei der Verhinderung von Kontodiebstahl?“ Darüber, was ein Kontoinhaber tun kann, um zu verhindern, dass es von Kriminellen gestohlen wird. Wir präsentieren Ihnen eine Übersetzung dieser Studie.
Zwar wurde die effektivste Methode, die Google selbst verwendet, nicht in den Bericht aufgenommen. Ich musste am Ende selbst über diese Methode schreiben.
Jeden Tag schützen wir Benutzer vor Hunderttausenden Account-Hacking-Versuchen. kommt von automatisierten Bots mit Zugriff auf Passwort-Knackersysteme von Drittanbietern, aber auch Phishing und gezielte Angriffe sind vorhanden. Zuvor haben wir erzählt, wie B. das Hinzufügen einer Telefonnummer, kann Ihnen helfen, sicher zu bleiben, aber jetzt wollen wir es in der Praxis beweisen.
Ein Phishing-Angriff ist ein Versuch, einen Benutzer dazu zu verleiten, dem Angreifer freiwillig Informationen preiszugeben, die für den Hacking-Prozess nützlich sind. Beispielsweise durch Kopieren der Schnittstelle einer juristischen Anwendung.
Angriffe mithilfe automatisierter Bots sind massive Hacking-Versuche, die nicht auf bestimmte Benutzer abzielen. Wird in der Regel mit öffentlich verfügbarer Software durchgeführt und kann auch von ungeübten „Crackern“ verwendet werden. Angreifer wissen nichts über die Eigenschaften bestimmter Benutzer – sie starten einfach das Programm und „fangen“ alle schlecht geschützten wissenschaftlichen Aufzeichnungen in der Umgebung ab.
Gezielte Angriffe sind das Hacken bestimmter Konten, bei dem zusätzliche Informationen über jedes Konto und seinen Besitzer gesammelt werden, Versuche, den Datenverkehr abzufangen und zu analysieren, sowie der Einsatz komplexerer Hacking-Tools sind möglich.
(Anmerkung des Übersetzers)
Wir haben uns mit Forschern der New York University und der University of California zusammengetan, um herauszufinden, wie wirksam grundlegende Kontohygiene Kontodiebstahl verhindert.
Jährliche Studie über и wurde am Mittwoch bei einem einberufenen Treffen von Experten, politischen Entscheidungsträgern und Anwendern vorgestellt .
Unsere Untersuchungen zeigen, dass in unserer Untersuchung durch einfaches Hinzufügen einer Telefonnummer zu Ihrem Google-Konto bis zu 100 % der automatisierten Bot-Angriffe, 99 % der Massen-Phishing-Angriffe und 66 % der gezielten Angriffe blockiert werden können.
Automatischer proaktiver Google-Schutz vor Kontodiebstahl
Wir implementieren einen automatischen proaktiven Schutz, um alle unsere Benutzer besser vor Konto-Hacking zu schützen. So funktioniert es: Wenn wir einen verdächtigen Anmeldeversuch feststellen (z. B. von einem neuen Standort oder Gerät), bitten wir um einen zusätzlichen Nachweis, dass es sich wirklich um Sie handelt. Bei dieser Bestätigung kann es sich um die Bestätigung handeln, dass Sie Zugriff auf eine vertrauenswürdige Telefonnummer haben, oder um die Beantwortung einer Frage, auf die nur Sie die richtige Antwort kennen.
Wenn Sie auf Ihrem Telefon angemeldet sind oder in Ihren Kontoeinstellungen eine Telefonnummer angegeben haben, können wir das gleiche Sicherheitsniveau wie die zweistufige Verifizierung bieten. Wir haben festgestellt, dass ein an eine Wiederherstellungstelefonnummer gesendeter SMS-Code dazu beitrug, 100 % der automatisierten Bots, 96 % der Massen-Phishing-Angriffe und 76 % der gezielten Angriffe zu blockieren. Und Geräteaufforderungen zur Bestätigung einer Transaktion, ein sichererer Ersatz für SMS, trugen dazu bei, 100 % der automatisierten Bots, 99 % der Massen-Phishing-Angriffe und 90 % der gezielten Angriffe zu verhindern.
Ein Schutz, der sowohl auf dem Besitz des Geräts als auch auf der Kenntnis bestimmter Fakten basiert, trägt dazu bei, automatisierten Bots entgegenzuwirken, während der Schutz des Besitzes des Geräts dabei hilft, Phishing und sogar gezielte Angriffe zu verhindern.
Wenn in Ihrem Konto keine Telefonnummer eingerichtet ist, verwenden wir möglicherweise schwächere Sicherheitstechniken, basierend auf dem, was wir über Sie wissen, z. B. wo Sie sich zuletzt bei Ihrem Konto angemeldet haben. Dies funktioniert gut gegen Bots, allerdings kann der Schutz vor Phishing auf 10 % sinken und es gibt praktisch keinen Schutz vor gezielten Angriffen. Dies liegt daran, dass Phishing-Seiten und gezielte Angreifer Sie dazu zwingen können, zusätzliche Informationen preiszugeben, die Google möglicherweise zur Überprüfung anfordert.
Angesichts der Vorteile eines solchen Schutzes könnte man sich fragen, warum wir ihn nicht bei jeder Anmeldung benötigen. Die Antwort ist, dass es für Benutzer zusätzliche Komplexität schaffen würde (speziell für Unvorbereitete - ca. Übersetzung.) und würde das Risiko einer Kontosperrung erhöhen. Das Experiment ergab, dass 38 % der Benutzer keinen Zugriff auf ihr Telefon hatten, als sie sich bei ihrem Konto anmeldeten. Weitere 34 % der Nutzer konnten sich nicht an ihre sekundäre E-Mail-Adresse erinnern.
Wenn Sie den Zugriff auf Ihr Telefon verloren haben oder sich nicht anmelden können, können Sie jederzeit zu dem vertrauenswürdigen Gerät zurückkehren, von dem aus Sie sich zuvor angemeldet haben, um auf Ihr Konto zuzugreifen.
Hack-for-Hire-Angriffe verstehen
Während die meisten automatisierten Schutzmaßnahmen die meisten Bots und Phishing-Angriffe blockieren, werden gezielte Angriffe schädlicher. Im Rahmen unserer fortlaufenden Bemühungen, , wir identifizieren ständig neue kriminelle Hacker-Gruppen, die durchschnittlich 750 US-Dollar für das Hacken eines Kontos verlangen. Diese Angreifer verlassen sich häufig auf Phishing-E-Mails, die sich als Familienangehörige, Kollegen, Regierungsbeamte oder sogar als Google ausgeben. Gibt das Ziel beim ersten Phishing-Versuch nicht auf, dauern die nachfolgenden Angriffe länger als einen Monat an.
Ein Beispiel für einen Man-in-the-Middle-Phishing-Angriff, der die Richtigkeit eines Passworts in Echtzeit überprüft. Die Phishing-Seite fordert die Opfer dann auf, SMS-Authentifizierungscodes einzugeben, um auf das Konto des Opfers zuzugreifen.
Wir schätzen, dass nur einer von einer Million Nutzer diesem hohen Risiko ausgesetzt ist. Angreifer zielen nicht auf zufällige Personen ab. Während Untersuchungen zeigen, dass unsere automatisierten Schutzmaßnahmen dazu beitragen können, bis zu 66 % der von uns untersuchten gezielten Angriffe zu verzögern und sogar zu verhindern, empfehlen wir Benutzern mit hohem Risiko dennoch, sich bei uns zu registrieren . Wie bei unserer Untersuchung festgestellt wurde, verwenden Benutzer, die ausschließlich Sicherheitsschlüssel verwenden (das heißt, zweistufige Authentifizierung mithilfe von Codes, die an Benutzer gesendet werden – ca. Übersetzung), sind Opfer von Spear-Phishing geworden.
Nehmen Sie sich etwas Zeit, um Ihr Konto zu schützen
Beim Autofahren schützen Sie Leib und Leben mit Sicherheitsgurten. Und mit der Hilfe unserer Sie können die Sicherheit Ihres Kontos gewährleisten.
Unsere Untersuchungen zeigen, dass die Einrichtung einer Telefonnummer eine der einfachsten Maßnahmen zum Schutz Ihres Google-Kontos ist. Unser Programm richtet sich an Benutzer mit hohem Risiko wie Journalisten, Community-Aktivisten, Wirtschaftsführer und politische Kampagnenteams wird dazu beitragen, ein Höchstmaß an Sicherheit zu gewährleisten. Sie können Ihre Nicht-Google-Konten auch vor Passwort-Hacks schützen, indem Sie die Erweiterung installieren .
Interessant ist, dass Google den Ratschlägen, die es seinen Nutzern gibt, nicht folgt. für die Zwei-Faktor-Authentifizierung für mehr als 85 seiner Mitarbeiter. Nach Angaben von Unternehmensvertretern wurde seit Beginn der Verwendung von Hardware-Tokens kein einziger Kontodiebstahl registriert. Vergleichen Sie mit den in diesem Bericht dargestellten Zahlen. Somit ist klar, dass der Einsatz von Hardware Token für die Zwei-Faktor-Authentifizierung die einzig zuverlässige Möglichkeit, sich zu schützen sowohl Konten als auch Informationen (und in manchen Fällen auch Geld).
Zum Schutz von Google-Konten verwenden wir beispielsweise Token, die nach dem FIDO U2F-Standard erstellt wurden . Und für die Zwei-Faktor-Authentifizierung in den Betriebssystemen Windows, Linux und MacOS, .
(Anmerkung des Übersetzers)
Source: habr.com