Η Google δημοσίευσε "Πόσο αποτελεσματική είναι η βασική υγιεινή λογαριασμού στην αποτροπή κλοπής λογαριασμού" σχετικά με το τι μπορεί να κάνει ένας κάτοχος λογαριασμού για να αποτρέψει την κλοπή του από εγκληματίες. Σας παρουσιάζουμε μια μετάφραση αυτής της μελέτης.
Είναι αλήθεια ότι η πιο αποτελεσματική μέθοδος, την οποία χρησιμοποιεί η ίδια η Google, δεν συμπεριλήφθηκε στην αναφορά. Έπρεπε να γράψω για αυτήν τη μέθοδο ο ίδιος στο τέλος.
Καθημερινά προστατεύουμε τους χρήστες από εκατοντάδες χιλιάδες απόπειρες εισβολής λογαριασμού. προέρχεται από αυτοματοποιημένα ρομπότ με πρόσβαση σε συστήματα διάρρηξης κωδικών πρόσβασης τρίτων, αλλά υπάρχουν επίσης phishing και στοχευμένες επιθέσεις. Προηγουμένως είπαμε πώς , όπως η προσθήκη ενός αριθμού τηλεφώνου, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς, αλλά τώρα θέλουμε να το αποδείξουμε στην πράξη.
Μια επίθεση phishing είναι μια προσπάθεια εξαπάτησης ενός χρήστη ώστε να δώσει οικειοθελώς στον εισβολέα πληροφορίες που θα είναι χρήσιμες στη διαδικασία hacking. Για παράδειγμα, αντιγράφοντας τη διεπαφή μιας νομικής εφαρμογής.
Οι επιθέσεις που χρησιμοποιούν αυτοματοποιημένα bots είναι μαζικές απόπειρες hacking που δεν απευθύνονται σε συγκεκριμένους χρήστες. Συνήθως πραγματοποιείται με χρήση δημοσίως διαθέσιμου λογισμικού και μπορεί να χρησιμοποιηθεί ακόμη και από μη εκπαιδευμένους «κράκερ». Οι επιτιθέμενοι δεν γνωρίζουν τίποτα για τα χαρακτηριστικά συγκεκριμένων χρηστών - απλώς ξεκινούν το πρόγραμμα και «πιάνουν» όλα τα ελάχιστα προστατευμένα επιστημονικά αρχεία τριγύρω.
Στοχευμένες επιθέσεις είναι η παραβίαση συγκεκριμένων λογαριασμών, όπου συλλέγονται πρόσθετες πληροφορίες για κάθε λογαριασμό και τον κάτοχό του, είναι δυνατές προσπάθειες υποκλοπής και ανάλυσης της κυκλοφορίας, καθώς και η χρήση πιο περίπλοκων εργαλείων hacking.
(Σημείωση του μεταφραστή)
Συνεργαστήκαμε με ερευνητές από το Πανεπιστήμιο της Νέας Υόρκης και το Πανεπιστήμιο της Καλιφόρνια για να μάθουμε πόσο αποτελεσματική είναι η βασική υγιεινή λογαριασμών στην πρόληψη της παραβίασης λογαριασμού.
Ετήσια μελέτη για и παρουσιάστηκε την Τετάρτη σε συνάντηση εμπειρογνωμόνων, υπευθύνων χάραξης πολιτικής και χρηστών .
Η έρευνά μας δείχνει ότι η απλή προσθήκη ενός αριθμού τηλεφώνου στον λογαριασμό σας Google μπορεί να αποκλείσει έως και 100% των αυτοματοποιημένων επιθέσεων bot, το 99% των μαζικών επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και το 66% των στοχευμένων επιθέσεων στην έρευνά μας.
Αυτόματη προληπτική προστασία της Google από παραβίαση λογαριασμού
Εφαρμόζουμε αυτόματη προληπτική προστασία για την καλύτερη προστασία όλων των χρηστών μας από την παραβίαση λογαριασμών. Δείτε πώς λειτουργεί: Εάν εντοπίσουμε μια ύποπτη απόπειρα σύνδεσης (για παράδειγμα, από μια νέα τοποθεσία ή συσκευή), θα ζητήσουμε πρόσθετη απόδειξη ότι είστε πραγματικά εσείς. Αυτή η επιβεβαίωση θα μπορούσε να είναι η επαλήθευση ότι έχετε πρόσβαση σε έναν αξιόπιστο αριθμό τηλεφώνου ή η απάντηση σε μια ερώτηση στην οποία μόνο εσείς γνωρίζετε τη σωστή απάντηση.
Εάν είστε συνδεδεμένοι στο τηλέφωνό σας ή έχετε δώσει έναν αριθμό τηλεφώνου στις ρυθμίσεις του λογαριασμού σας, μπορούμε να παρέχουμε το ίδιο επίπεδο ασφάλειας με την επαλήθευση σε δύο βήματα. Διαπιστώσαμε ότι ένας κωδικός SMS που στάλθηκε σε έναν αριθμό τηλεφώνου ανάκτησης βοήθησε στον αποκλεισμό του 100% των αυτοματοποιημένων bots, στο 96% των μαζικών επιθέσεων ηλεκτρονικού ψαρέματος και στο 76% των στοχευμένων επιθέσεων. Και οι προτροπές της συσκευής για επιβεβαίωση μιας συναλλαγής, μια πιο ασφαλής αντικατάσταση του SMS, βοήθησε στην αποτροπή του 100% των αυτοματοποιημένων bots, του 99% των μαζικών επιθέσεων ηλεκτρονικού ψαρέματος και του 90% των στοχευμένων επιθέσεων.
Η προστασία που βασίζεται τόσο στην ιδιοκτησία της συσκευής όσο και στη γνώση ορισμένων γεγονότων βοηθά στην αντιμετώπιση των αυτοματοποιημένων ρομπότ, ενώ η προστασία ιδιοκτησίας συσκευής βοηθά στην αποφυγή phishing, ακόμη και στοχευμένων επιθέσεων.
Εάν δεν έχετε ρυθμίσει έναν αριθμό τηλεφώνου στον λογαριασμό σας, ενδέχεται να χρησιμοποιήσουμε πιο αδύναμες τεχνικές ασφαλείας με βάση όσα γνωρίζουμε για εσάς, όπως το πού συνδεθήκατε τελευταία φορά στον λογαριασμό σας. Αυτό λειτουργεί καλά έναντι των bots, αλλά το επίπεδο προστασίας από το ηλεκτρονικό ψάρεμα μπορεί να πέσει στο 10%, και ουσιαστικά δεν υπάρχει προστασία από στοχευμένες επιθέσεις. Αυτό συμβαίνει επειδή οι σελίδες ηλεκτρονικού ψαρέματος και οι στοχευμένοι εισβολείς μπορούν να σας αναγκάσουν να αποκαλύψετε τυχόν πρόσθετες πληροφορίες που ενδέχεται να ζητήσει η Google για επαλήθευση.
Δεδομένων των πλεονεκτημάτων μιας τέτοιας προστασίας, θα μπορούσε κανείς να αναρωτηθεί γιατί δεν το απαιτούμε για κάθε σύνδεση. Η απάντηση είναι ότι θα δημιουργούσε πρόσθετη πολυπλοκότητα στους χρήστες (ειδικά για τους απροετοίμαστους - περ. μετάφραση.) και θα αύξανε τον κίνδυνο αναστολής λογαριασμού. Το πείραμα διαπίστωσε ότι το 38% των χρηστών δεν είχαν πρόσβαση στο τηλέφωνό τους όταν συνδέονταν στον λογαριασμό τους. Ένα άλλο 34% των χρηστών δεν μπορούσε να θυμηθεί τη δευτερεύουσα διεύθυνση email τους.
Εάν έχετε χάσει την πρόσβαση στο τηλέφωνό σας ή δεν μπορείτε να συνδεθείτε, μπορείτε πάντα να επιστρέψετε στην αξιόπιστη συσκευή από την οποία είχατε συνδεθεί προηγουμένως για να αποκτήσετε πρόσβαση στον λογαριασμό σας.
Κατανόηση των επιθέσεων hack-for-hire
Όπου οι περισσότερες αυτοματοποιημένες προστασίες μπλοκάρουν τα περισσότερα bots και επιθέσεις phishing, οι στοχευμένες επιθέσεις γίνονται πιο επιζήμιες. Στο πλαίσιο των συνεχών προσπαθειών μας για , εντοπίζουμε συνεχώς νέες εγκληματικές ομάδες εισβολής για ενοικίαση που χρεώνουν κατά μέσο όρο 750 $ για να παραβιάσουν έναν λογαριασμό. Αυτοί οι εισβολείς βασίζονται συχνά σε μηνύματα ηλεκτρονικού ψαρέματος που υποδύονται μέλη της οικογένειας, συναδέλφους, κυβερνητικούς αξιωματούχους ή ακόμα και την Google. Εάν ο στόχος δεν εγκαταλείψει την πρώτη προσπάθεια phishing, οι επόμενες επιθέσεις συνεχίζονται για περισσότερο από ένα μήνα.
Ένα παράδειγμα επίθεσης "ψαρέματος" από τον άνθρωπο στη μέση που επαληθεύει την ορθότητα ενός κωδικού πρόσβασης σε πραγματικό χρόνο. Στη συνέχεια, η σελίδα phishing ζητά από τα θύματα να εισαγάγουν κωδικούς ελέγχου ταυτότητας SMS για πρόσβαση στον λογαριασμό του θύματος.
Υπολογίζουμε ότι μόνο ένας στους εκατομμύριο χρήστες διατρέχει αυτόν τον υψηλό κίνδυνο. Οι επιτιθέμενοι δεν στοχεύουν τυχαίους ανθρώπους. Ενώ η έρευνα δείχνει ότι οι αυτοματοποιημένες προστασίες μας μπορούν να βοηθήσουν στην καθυστέρηση και ακόμη και στην αποτροπή έως και 66% των στοχευμένων επιθέσεων που έχουμε μελετήσει, συνιστούμε στους χρήστες υψηλού κινδύνου να εγγραφούν στο . Όπως παρατηρήθηκε κατά τη διάρκεια της έρευνάς μας, χρήστες που χρησιμοποιούν αποκλειστικά κλειδιά ασφαλείας (δηλαδή έλεγχος ταυτότητας σε δύο βήματα με χρήση κωδικών που αποστέλλονται στους χρήστες - περίπου. μετάφραση), έχουν γίνει θύματα του spear phishing.
Αφιερώστε λίγο χρόνο για να προστατέψετε τον λογαριασμό σας
Χρησιμοποιείτε ζώνες ασφαλείας για να προστατεύσετε τη ζωή και τα άκρα ενώ ταξιδεύετε με αυτοκίνητα. Και με τη βοήθειά μας μπορείτε να διασφαλίσετε την ασφάλεια του λογαριασμού σας.
Η έρευνά μας δείχνει ότι ένα από τα πιο εύκολα πράγματα που μπορείτε να κάνετε για να προστατεύσετε τον Λογαριασμό σας Google είναι να ρυθμίσετε έναν αριθμό τηλεφώνου. Για χρήστες υψηλού κινδύνου, όπως δημοσιογράφους, ακτιβιστές της κοινότητας, ηγέτες επιχειρήσεων και ομάδες πολιτικών εκστρατειών, το πρόγραμμά μας θα βοηθήσει στην εξασφάλιση του υψηλότερου επιπέδου ασφάλειας. Μπορείτε επίσης να προστατεύσετε τους λογαριασμούς σας εκτός Google από εισβολές κωδικών πρόσβασης εγκαθιστώντας την επέκταση .
Είναι ενδιαφέρον ότι η Google δεν ακολουθεί τις συμβουλές που δίνει στους χρήστες της. για έλεγχο ταυτότητας δύο παραγόντων για περισσότερους από 85 υπαλλήλους της. Σύμφωνα με εκπροσώπους της εταιρείας, από την έναρξη της χρήσης μάρκες υλικού, δεν έχει καταγραφεί ούτε μία κλοπή λογαριασμού. Συγκρίνετε με τα στοιχεία που παρουσιάζονται σε αυτήν την έκθεση. Έτσι είναι σαφές ότι η χρήση του υλικού μάρκες για έλεγχο ταυτότητας δύο παραγόντων ο μόνος αξιόπιστος τρόπος προστασίας λογαριασμούς και πληροφορίες (και σε ορισμένες περιπτώσεις και χρήματα).
Για την προστασία των λογαριασμών Google, χρησιμοποιούμε διακριτικά που έχουν δημιουργηθεί σύμφωνα με το πρότυπο FIDO U2F, για παράδειγμα . Και για έλεγχο ταυτότητας δύο παραγόντων σε λειτουργικά συστήματα Windows, Linux και MacOS, .
(Σημείωση του μεταφραστή)
Πηγή: www.habr.com