Googlek argitaratu du "Zein eraginkorra den oinarrizko kontuaren higienea kontu lapurreta saihesteko" kontuaren jabe batek egin dezakeenari buruz gaizkileek lapurtu ez dezaten. Ikerketa honen itzulpena aurkezten dizuegu.
Egia da, metodorik eraginkorrena, Googlek berak erabiltzen duena, ez zen txostenean sartu. Metodo honi buruz neuk idatzi behar izan nuen amaieran.
Egunero, erabiltzaileak babesten ditugu ehunka milaka kontu piratatze saiakeretatik. Hirugarrenen pasahitzak cracking sistemetarako sarbidea duten robot automatizatuetatik dator, baina phishing-a eta eraso zuzenduak ere badira. Aurretik nola kontatu genuen , hala nola, telefono-zenbaki bat gehitzeak seguru mantentzen lagun zaitzake, baina orain praktikan frogatu nahi dugu.
Phishing-erasoa erabiltzaile bat engainatzeko saiakera bat da, erasotzaileari hacking-prozesuan erabilgarria izango den informazioa borondatez emateko. Adibidez, legezko aplikazio baten interfazea kopiatuz.
Bot automatizatuak erabiltzen dituzten erasoak hacking saiakera masiboak dira, erabiltzaile zehatzei zuzenduta ez daudenak. Normalean, publikoki eskuragarri dagoen softwarea erabiliz egiten da eta trebatu gabeko "cracker"ek ere erabil dezakete. Erasotzaileek ez dakite ezer erabiltzaile espezifikoen ezaugarriei buruz; besterik gabe, programa abiarazi eta gaizki babestuta dauden erregistro zientifiko guztiak "harrapatzen" dituzte.
Norakoak diren erasoak kontu zehatzen pirateatzea dira, zeinetan kontu bakoitzari eta bere jabeari buruzko informazio gehigarria biltzen den, trafikoa atzematen eta aztertzeko saiakerak, baita hacking tresna konplexuagoak erabiltzea posible da.
(Itzultzailearen oharra)
New Yorkeko Unibertsitateko eta Kaliforniako Unibertsitateko ikertzaileekin bat egin genuen kontuen oinarrizko higienea kontuen bahiketa saihesteko zein eraginkorra den jakiteko.
Urteko azterketa buruz ΠΈ asteazkenean aurkeztu zen adituen, arduradun politikoen eta erabiltzaileen bileran .
Gure ikerketek erakusten dute Google-ko kontuan telefono-zenbaki bat gehitzeak robot automatikoen erasoen %100, phishing-eraso masiboen %99 eta zuzendutako erasoen %66 blokeatu ditzakeela gure ikerketan.
Google-ren babes proaktibo automatikoa kontuen bahiketaren aurka
Babes proaktibo automatikoa ezartzen dugu gure erabiltzaile guztiak kontuen piratatzetik hobeto babesteko. Hona nola funtzionatzen duen: saioa hasteko saiakera susmagarri bat antzematen badugu (adibidez, kokapen edo gailu berri batetik), benetan zu zarela egiaztatzen duen froga osagarria eskatuko dugu. Berrespen hau telefono-zenbaki fidagarri baterako sarbidea duzula egiaztatzea edo zuk bakarrik erantzun zuzena dakizun galdera bati erantzutea izan daiteke.
Zure telefonoan saioa hasi baduzu edo zure kontuaren ezarpenetan telefono-zenbaki bat eman baduzu, bi urratseko egiaztapenaren segurtasun-maila bera eskain dezakegu. Berreskuratzeko telefono-zenbaki batera bidalitako SMS-kode batek robot automatizatuen %100, phishing-eraso masiboen %96 eta zuzendutako erasoen %76 blokeatzen lagundu duela ikusi dugu. Eta transakzio bat berresteko gailuaren galderei, SMSen ordezko seguruagoa, robot automatizatuen % 100, phishing-eraso masiboen % 99 eta zuzendutako erasoen % 90 saihesten lagundu zuten.
Gailuaren jabetzan eta zenbait daturen ezagutzan oinarritutako babesak robot automatizatuei aurre egiten laguntzen die, eta gailuen jabetza babesteak phishing-a eta baita zuzendutako erasoak ere saihesten laguntzen du.
Ez baduzu telefono-zenbakirik konfiguratuta zure kontuan, baliteke segurtasun-teknika ahulagoak erabiltzea zuri buruz dakigunaren arabera, esate baterako, zure kontuan azken saioa non sartu zenuen. Honek ondo funtzionatzen du bot-en aurka, baina phishing-aren aurkako babes-maila %10era jaitsi daiteke, eta ia ez dago helburuko erasoen aurkako babesik. Hau da, phishing-orriek eta xede-erasotzaileek Google-k egiaztatzeko eska diezaiokeen informazio gehigarria agertzera behartzen zaituztelako.
Babes horren onurak kontuan hartuta, galdetu liteke zergatik ez dugun saio-hasiera guztietan eskatzen. Erantzuna da erabiltzaileentzat konplexutasun gehigarria sortuko lukeela (bereziki prestatu gabekoentzat - gutxi gorabehera. itzulpena.) eta kontua eteteko arriskua areagotuko luke. Esperimentuak ikusi zuen erabiltzaileen % 38k ez zuela telefonorako sarbidea izan bere kontuan saioa hastean. Erabiltzaileen beste % 34k ezin izan du gogoratu bigarren mailako helbide elektronikoa.
Telefonorako sarbidea galdu baduzu edo ezin baduzu saioa hasi, beti itzul zaitezke lehen saioa hasi zenuen gailu fidagarrira zure kontuan sartzeko.
Hack-for-hire erasoak ulertzea
Babes automatizatu gehienek bot eta phishing-eraso gehienak blokeatzen dituzten tokietan, zuzendutako erasoak kaltegarriagoak izaten dira. Gure etengabeko ahaleginen barruan , etengabe identifikatzen ari gara kontu bat hackeatzeko batez beste 750 dolar kobratzen dituzten talde kriminal berriak alokatzeko. Erasotzaile hauek, maiz, familiako kideen, lankideen, gobernuko funtzionarioen edota Google-ren nortasuna hartzen duten phishing-mezuetan oinarritzen dira. Helburuak lehen phishing-saiakeran amore ematen ez badu, ondorengo erasoek hilabete baino gehiago iraungo dute.
Pasahitz baten zuzentasuna denbora errealean egiaztatzen duen man-in-the-middle phishing-eraso baten adibidea. Ondoren, phishing-orriak biktimei SMS autentifikazio-kodeak sartzeko eskatzen die biktimaren kontuan sartzeko.
Kalkulatzen dugu milioi bat erabiltzailetik bakarra dagoela arrisku handi horretan. Erasotzaileek ez dituzte ausazko pertsonak jomugan. Ikerketek erakusten duten arren, gure babes automatizatuek aztertu ditugun xede-erasoen % 66ra arte atzeratzen eta are saihesten lagun dezaketela, oraindik ere gomendatzen dugu arrisku handiko erabiltzaileek gurekin erregistratzea. . Gure ikerketan ikusi zenez, segurtasun-giltzak soilik erabiltzen dituzten erabiltzaileek (hau da, erabiltzaileei bidalitako kodeak erabiliz bi urratseko autentifikazioa - gutxi gorabehera. itzulpena), spear phishingaren biktima bihurtu dira.
Hartu denbora pixka bat zure kontua babesteko
Segurtasun-uhalak erabiltzen dituzu bizitza eta gorputz-adarrak babesteko autoetan bidaiatzen duzun bitartean. Eta gure laguntzarekin zure kontuaren segurtasuna berma dezakezu.
Gure ikerketek erakusten dute zure Google kontua babesteko egin dezakezun gauzarik errazenetako bat telefono-zenbaki bat konfiguratzea dela. Arrisku handiko erabiltzaileentzat, hala nola kazetarientzat, komunitateko aktibistarentzat, enpresaburuentzat eta kanpaina politikoko taldeentzat, gure programa segurtasun maila gorena bermatzen lagunduko du. Google-koak ez diren zure kontuak pasahitz-pirateetatik babestu ditzakezu luzapena instalatuz .
Interesgarria da Google-k ez dituela erabiltzaileei ematen dizkien aholkuak jarraitzen. bere langileetatik 85 baino gehiagoren bi faktoreko autentifikaziorako. Korporazioko ordezkarien arabera, hardware-tokenak erabiltzen hasi zirenetik, ez da kontu lapurreta bakar bat ere erregistratu. Konparatu txosten honetan aurkezten diren zifrekin. Beraz, argi dago hardwarearen erabilera tokens bi faktoreko autentifikaziorako babesteko modu fidagarri bakarra bai kontuak bai informazioa (eta kasu batzuetan dirua ere bai).
Google kontuak babesteko, FIDO U2F estandarraren arabera sortutako tokenak erabiltzen ditugu, adibidez . Eta bi faktoreko autentifikaziorako Windows, Linux eta MacOS sistema eragileetan, .
(Itzultzailearen oharra)
Iturria: www.habr.com