Google ha publicado "¿Qué tan efectiva es la higiene básica de la cuenta para prevenir el robo de cuentas?" sobre lo que puede hacer el propietario de una cuenta para evitar que los delincuentes la roben. Presentamos a su atención una traducción de este estudio.
Es cierto que el método más eficaz, utilizado por el propio Google, no se incluye en el informe. Al final tuve que escribir sobre este método.
Todos los días protegemos a los usuarios de cientos de miles de intentos de piratería de cuentas. proviene de bots automatizados con acceso a sistemas de descifrado de contraseñas de terceros, pero también están presentes el phishing y los ataques dirigidos. Anteriormente dijimos cómo , como agregar un número de teléfono, pueden ayudarlo a mantenerse seguro, pero ahora queremos demostrarlo en la práctica.
Un ataque de phishing es un intento de engañar a un usuario para que le proporcione voluntariamente al atacante información que será útil en el proceso de piratería. Por ejemplo, copiando la interfaz de una aplicación legal.
Los ataques que utilizan bots automatizados son intentos de piratería masiva que no están dirigidos a usuarios específicos. Generalmente se lleva a cabo utilizando software disponible públicamente y puede ser utilizado incluso por "crackers" no capacitados. Los atacantes no saben nada sobre las características de usuarios específicos: simplemente inician el programa y "captan" todos los registros científicos mal protegidos que existen.
Los ataques dirigidos son la piratería de cuentas específicas, en las que se recopila información adicional sobre cada cuenta y su propietario, son posibles intentos de interceptar y analizar el tráfico, así como el uso de herramientas de piratería más complejas.
(Nota del traductor)
Nos asociamos con investigadores de la Universidad de Nueva York y la Universidad de California para descubrir qué tan efectiva es la higiene básica de la cuenta para prevenir el secuestro de cuentas.
Estudio anual sobre и fue presentado el miércoles en una reunión de expertos, responsables políticos y usuarios convocada .
Nuestra investigación muestra que simplemente agregar un número de teléfono a su cuenta de Google puede bloquear hasta el 100 % de los ataques de bots automatizados, el 99 % de los ataques de phishing masivo y el 66 % de los ataques dirigidos en nuestra investigación.
Protección proactiva automática de Google contra el secuestro de cuentas
Implementamos protección proactiva automática para proteger mejor a todos nuestros usuarios contra la piratería de cuentas. Así es como funciona: si detectamos un intento de inicio de sesión sospechoso (por ejemplo, desde una nueva ubicación o dispositivo), le pediremos pruebas adicionales de que realmente es usted. Esta confirmación podría ser verificar que tiene acceso a un número de teléfono confiable o responder una pregunta cuya respuesta solo usted conoce.
Si inició sesión en su teléfono o proporcionó un número de teléfono en la configuración de su cuenta, podemos brindarle el mismo nivel de seguridad que la verificación en dos pasos. Descubrimos que un código SMS enviado a un número de teléfono de recuperación ayudó a bloquear el 100 % de los bots automatizados, el 96 % de los ataques de phishing masivos y el 76 % de los ataques dirigidos. Y las indicaciones del dispositivo para confirmar una transacción, un reemplazo más seguro de los SMS, ayudaron a prevenir el 100 % de los bots automatizados, el 99 % de los ataques masivos de phishing y el 90 % de los ataques dirigidos.
La protección basada tanto en la propiedad del dispositivo como en el conocimiento de ciertos hechos ayuda a contrarrestar los robots automatizados, mientras que la protección de la propiedad del dispositivo ayuda a prevenir el phishing e incluso los ataques dirigidos.
Si no tiene un número de teléfono configurado en su cuenta, podemos utilizar técnicas de seguridad más débiles según lo que sabemos sobre usted, como dónde inició sesión por última vez en su cuenta. Esto funciona bien contra los bots, pero el nivel de protección contra el phishing puede caer al 10% y prácticamente no hay protección contra ataques dirigidos. Esto se debe a que las páginas de phishing y los atacantes dirigidos pueden obligarlo a revelar cualquier información adicional que Google pueda solicitar para su verificación.
Dados los beneficios de dicha protección, uno podría preguntarse por qué no la requerimos para cada inicio de sesión. La respuesta es que crearía complejidad adicional para los usuarios (especialmente para los que no están preparados - aprox. traducción.) y aumentaría el riesgo de suspensión de la cuenta. El experimento encontró que el 38% de los usuarios no tenían acceso a su teléfono cuando iniciaban sesión en su cuenta. Otro 34% de los usuarios no recordaba su dirección de correo electrónico secundaria.
Si perdió el acceso a su teléfono o no puede iniciar sesión, siempre puede regresar al dispositivo confiable desde el que inició sesión anteriormente para acceder a su cuenta.
Comprensión de los ataques de hackers contratados
Mientras que la mayoría de las defensas automatizadas bloquean la mayoría de los bots y ataques de phishing, los ataques dirigidos se vuelven más dañinos. Como parte de nuestros esfuerzos continuos para , identificamos constantemente nuevos grupos criminales de piratería informática a sueldo que cobran un promedio de 750 dólares por piratear una cuenta. Estos atacantes suelen recurrir a correos electrónicos de phishing que se hacen pasar por familiares, colegas, funcionarios gubernamentales o incluso Google. Si el objetivo no se da por vencido en el primer intento de phishing, los ataques posteriores continúan durante más de un mes.
Un ejemplo de un ataque de phishing de intermediario que verifica la exactitud de una contraseña en tiempo real. Luego, la página de phishing solicita a las víctimas que ingresen códigos de autenticación por SMS para acceder a la cuenta de la víctima.
Estimamos que sólo uno entre un millón de usuarios corre este alto riesgo. Los atacantes no se dirigen a personas al azar. Si bien las investigaciones muestran que nuestras protecciones automatizadas pueden ayudar a retrasar e incluso prevenir hasta el 66 % de los ataques dirigidos que hemos estudiado, recomendamos que los usuarios de alto riesgo se registren en nuestra . Como se observó durante nuestra investigación, los usuarios que utilizan exclusivamente claves de seguridad (es decir, autenticación en dos pasos mediante códigos enviados a los usuarios: aprox. traducción), se han convertido en víctimas de phishing.
Tómese un poco de tiempo para proteger su cuenta
Utiliza los cinturones de seguridad para proteger la vida y la integridad física mientras viaja en automóvil. Y con la ayuda de nuestro puede garantizar la seguridad de su cuenta.
Nuestra investigación muestra que una de las cosas más sencillas que puede hacer para proteger su cuenta de Google es configurar un número de teléfono. Para usuarios de alto riesgo, como periodistas, activistas comunitarios, líderes empresariales y equipos de campañas políticas, nuestro programa ayudará a garantizar el más alto nivel de seguridad. También puedes proteger tus cuentas que no sean de Google contra hackeos de contraseñas instalando la extensión .
Es interesante que Google no siga los consejos que da a sus usuarios. para la autenticación de dos factores para más de 85 de sus empleados. Según representantes de la corporación, desde que se empezaron a utilizar tokens de hardware no se ha registrado ni un solo robo de cuenta. Compárese con las cifras presentadas en este informe. Por tanto, está claro que el uso de hardware tokens para autenticación de dos factores la única forma confiable de proteger tanto cuentas como información (y en algunos casos también dinero).
Para proteger las cuentas de Google, utilizamos tokens creados según el estándar FIDO U2F, por ejemplo . Y para la autenticación de dos factores en los sistemas operativos Windows, Linux y MacOS, .
(Nota del traductor)
Fuente: habr.com