Google on avaldanud „Kui tõhus on elementaarne kontohügieen kontovarguste ärahoidmisel” selle kohta, mida konto omanik saab teha, et kurjategijad seda varastada ei saaks. Esitame teie tähelepanu selle uurimuse tõlkele.
Tõsi, kõige tõhusamat meetodit, mida Google ise kasutab, raportisse ei lisatud. Sellest meetodist pidin ka ise lõpus kirjutama.
Iga päev kaitseme kasutajaid sadade tuhandete konto häkkimise katsete eest. pärineb automatiseeritud robotitest, millel on juurdepääs kolmandate osapoolte paroolide murdmise süsteemidele, kuid esinevad ka andmepüügi ja sihitud rünnakud. Varem rääkisime, kuidas , näiteks telefoninumbri lisamine, aitab teil end turvaliselt hoida, kuid nüüd tahame seda praktikas tõestada.
Andmepüügirünnak on katse meelitada kasutajat andma ründajale vabatahtlikult teavet, mis on häkkimisprotsessis kasulik. Näiteks juriidilise rakenduse liidest kopeerides.
Automatiseeritud roboteid kasutavad rünnakud on massilised häkkimiskatsed, mis ei ole suunatud konkreetsetele kasutajatele. Tavaliselt tehakse seda avalikult kättesaadava tarkvara abil ja seda saavad kasutada isegi koolitamata "kreekerid". Ründajad ei tea konkreetsete kasutajate omadustest midagi – nad lihtsalt käivitavad programmi ja püüavad kinni kõik halvasti kaitstud teaduslikud andmed.
Suunatud rünnakud on konkreetsete kontode häkkimine, mille käigus kogutakse lisainfot iga konto ja selle omaniku kohta, võimalikud on liikluse pealtkuulamise ja analüüsimise katsed, aga ka keerukamate häkkimisvahendite kasutamine.
(Tõlkija märkus)
Tegime koostööd New Yorgi ülikooli ja California ülikooli teadlastega, et välja selgitada, kui tõhus on põhiline kontohügieen konto kaaperdamise ärahoidmisel.
Iga-aastane uuring umbes и esitleti kolmapäeval ekspertide, poliitikakujundajate ja kasutajate kohtumisel .
Meie uuringud näitavad, et lihtsalt telefoninumbri lisamine oma Google'i kontole võib meie uurimise käigus blokeerida kuni 100% automatiseeritud robotirünnakutest, 99% hulgiandmepüügirünnakutest ja 66% sihitud rünnakutest.
Automaatne ennetav Google'i kaitse konto kaaperdamise vastu
Rakendame automaatset ennetavat kaitset, et paremini kaitsta kõiki oma kasutajaid konto häkkimise eest. See toimib järgmiselt: kui tuvastame kahtlase sisselogimiskatse (näiteks uuest asukohast või seadmest), küsime täiendavat tõendit selle kohta, et see olete tõesti teie. See kinnitus võib kinnitada, et teil on juurdepääs usaldusväärsele telefoninumbrile, või vastata küsimusele, mille õiget vastust teate ainult teie.
Kui olete oma telefoni sisse logitud või sisestasite oma konto seadetes telefoninumbri, saame pakkuda kaheastmelise kinnitamisega sama turvalisuse taset. Leidsime, et varutelefoninumbrile saadetud SMS-kood aitas blokeerida 100% automatiseeritud robotitest, 96% hulgiandmepüügirünnakutest ja 76% sihitud rünnakutest. Ja seadme viibad tehingu kinnitamiseks, mis on SMS-i turvalisem asendus, aitasid ära hoida 100% automatiseeritud robotitest, 99% massilistest andmepüügirünnakutest ja 90% sihitud rünnakutest.
Seadme omandiõigusel ja teatud faktide teadmisel põhinev kaitse aitab automatiseeritud robotitele vastu astuda, samas kui seadme omandiõiguse kaitse aitab vältida andmepüügi ja isegi sihitud rünnakuid.
Kui teie kontol pole telefoninumbrit seadistatud, võime kasutada nõrgemaid turvatehnikaid selle põhjal, mida me teie kohta teame (nt kus te viimati oma kontole sisse logisite). See toimib hästi robotite vastu, kuid andmepüügivastase kaitse tase võib langeda 10%-ni ja sihitud rünnakute eest kaitset praktiliselt pole. Selle põhjuseks on asjaolu, et andmepüügilehed ja sihitud ründajad võivad sundida teid avaldama mis tahes lisateavet, mille Google võib kinnitada.
Arvestades sellise kaitse eeliseid, võib küsida, miks me seda iga sisselogimise jaoks ei nõua. Vastus on, et see muudaks kasutajate jaoks keerukamaks (eriti ettevalmistamata - u. tõlge.) ja suurendaks konto peatamise ohtu. Katse käigus selgus, et 38% kasutajatest ei saanud oma kontole sisse logides ligi oma telefonile. Veel 34% kasutajatest ei mäletanud oma teisest e-posti aadressi.
Kui olete kaotanud juurdepääsu oma telefonile või ei saa sisse logida, saate oma kontole juurdepääsuks alati naasta usaldusväärsesse seadmesse, millest varem sisse logisite.
Häkkimisrünnakute mõistmine
Kui enamik automatiseeritud kaitseid blokeerib enamiku roboteid ja andmepüügirünnakuid, muutuvad sihitud rünnakud kahjulikumaks. Osana meie jätkuvatest jõupingutustest , tuvastame pidevalt uusi kuritegelikke renditud häkkimisrühmitusi, kes võtavad ühe konto häkkimise eest keskmiselt 750 dollarit. Need ründajad tuginevad sageli andmepüügimeilidele, mis kehastavad pereliikmeid, kolleege, valitsusametnikke või isegi Google'it. Kui sihtmärk esimesel andmepüügikatsel alla ei anna, jätkuvad järgmised rünnakud üle kuu.
Näide mees-in-the-middle andmepüügirünnakust, mis kontrollib parooli õigsust reaalajas. Seejärel palub andmepüügileht ohvri kontole juurdepääsuks sisestada SMS-i autentimiskoodid.
Meie hinnangul on see suur oht ainult ühel kasutajal miljonist. Ründajad ei sihi juhuslikke inimesi. Kuigi uuringud näitavad, et meie automatiseeritud kaitse võib aidata viivitada ja isegi ära hoida kuni 66% meie uuritud sihitud rünnakutest, soovitame siiski kõrge riskiga kasutajatel registreeruda meie . Nagu meie uurimise käigus täheldati, kasutasid kasutajad, kes kasutavad ainult turvavõtmeid (ehk kaheastmeline autentimine kasutajatele saadetud koodide abil – ca. tõlge), on langenud oda andmepüügi ohvriks.
Võtke veidi aega oma konto kaitsmiseks
Autos reisides kasutate turvavööd elu ja jäsemete kaitsmiseks. Ja meie abiga saate tagada oma konto turvalisuse.
Meie uuringud näitavad, et üks lihtsamaid asju, mida saate oma Google'i konto kaitsmiseks teha, on telefoninumbri seadistamine. Meie programm kõrge riskiga kasutajatele, nagu ajakirjanikud, kogukonnaaktivistid, ettevõtete juhid ja poliitilise kampaania meeskonnad aitab tagada kõrgeima turvalisuse taseme. Samuti saate laienduse installimisega kaitsta oma mitte-Google'i kontosid paroolihäkkimise eest .
Huvitav on see, et Google ei järgi oma kasutajatele antud nõuandeid. kahefaktorilise autentimise jaoks enam kui 85 000 töötaja jaoks. Korporatsiooni esindajate sõnul pole riistvaramärkide kasutamise algusest peale registreeritud ühtegi kontovargust. Võrrelge käesolevas aruandes esitatud arvudega. Seega on selge, et riistvara kasutamine märgid kahefaktorilise autentimise jaoks ainus usaldusväärne viis kaitsta nii kontod kui info (ja mõnel juhul ka raha).
Google'i kontode kaitsmiseks kasutatakse näiteks FIDO U2F standardi järgi loodud tokeneid . Ja kahefaktorilise autentimise jaoks Windowsi, Linuxi ja MacOS-i operatsioonisüsteemides .
(Tõlkija märkus)
Allikas: www.habr.com