برای جلوگیری از سرقت اکانت گوگل خود چه کاری باید انجام دهید

گوگل منتشر کرده است مطالعه درباره اینکه مالک حساب چه کاری می تواند انجام دهد تا از سرقت آن توسط مجرمان جلوگیری کند، «بهداشت اولیه حساب چقدر در جلوگیری از سرقت حساب مؤثر است». ترجمه ای از این تحقیق را به شما تقدیم می کنیم.
درست است، مؤثرترین روشی که خود گوگل از آن استفاده می کند، در گزارش گنجانده نشده است. در پایان مجبور شدم خودم در مورد این روش بنویسم.

ما هر روز از کاربران در برابر صدها هزار تلاش برای هک حساب محافظت می کنیم. اکثر حملات از ربات های خودکار با دسترسی به سیستم های شکستن رمز عبور شخص ثالث می آید، اما حملات فیشینگ و هدفمند نیز وجود دارد. قبلاً گفتیم چگونه فقط پنج مرحله ساده، مانند افزودن شماره تلفن، می تواند به شما کمک کند ایمن بمانید، اما اکنون می خواهیم آن را در عمل ثابت کنیم.

حمله فیشینگ تلاشی برای فریب کاربر برای دادن داوطلبانه اطلاعاتی است که در فرآیند هک مفید خواهد بود. به عنوان مثال، با کپی کردن رابط یک برنامه قانونی.

حملات با استفاده از ربات‌های خودکار، تلاش‌های هک گسترده‌ای هستند که کاربران خاصی را هدف قرار نمی‌دهند. معمولاً با استفاده از نرم‌افزارهای در دسترس عموم انجام می‌شود و می‌توان آن را حتی توسط "کرکرهای" آموزش‌دیده نیز استفاده کرد. مهاجمان هیچ چیز در مورد ویژگی های کاربران خاص نمی دانند - آنها به سادگی برنامه را راه اندازی می کنند و تمام سوابق علمی ضعیف محافظت شده در اطراف را "گرفتن" می کنند.

حملات هدفمند هک کردن حساب‌های خاص است که در آن اطلاعات اضافی درباره هر حساب و صاحب آن جمع‌آوری می‌شود، تلاش برای رهگیری و تجزیه و تحلیل ترافیک و همچنین استفاده از ابزارهای هک پیچیده‌تر امکان‌پذیر است.

(یادداشت مترجم)

ما با محققانی از دانشگاه نیویورک و دانشگاه کالیفرنیا همکاری کردیم تا بفهمیم رعایت بهداشت اولیه حساب چقدر در جلوگیری از سرقت حساب موثر است.

مطالعه سالانه در مورد در مقیاس بزرگ и حملات هدفمند روز چهارشنبه در نشست کارشناسان، سیاستگذاران و کاربران به نام ارائه شد کنفرانس وب.
تحقیقات ما نشان می‌دهد که افزودن یک شماره تلفن به حساب Google شما می‌تواند تا 100 درصد از حملات خودکار ربات، 99 درصد از حملات فیشینگ انبوه و 66 درصد از حملات هدفمند را در تحقیقات ما مسدود کند.

حفاظت پیشگیرانه خودکار گوگل در برابر سرقت حساب

ما حفاظت پیشگیرانه خودکار را برای محافظت بهتر از همه کاربران خود در برابر هک حساب پیاده سازی می کنیم. نحوه کار به این صورت است: اگر تلاش مشکوکی برای ورود به سیستم شناسایی کنیم (مثلاً از یک مکان یا دستگاه جدید)، مدرک دیگری مبنی بر اینکه واقعاً شما هستید درخواست خواهیم کرد. این تأیید می‌تواند تأیید دسترسی شما به یک شماره تلفن قابل اعتماد یا پاسخ به سؤالی باشد که فقط شما پاسخ صحیح را می‌دانید.

اگر به سیستم تلفن خود وارد شده اید یا شماره تلفنی را در تنظیمات حساب خود ارائه کرده اید، ما می توانیم همان سطح امنیتی را که تأیید صحت دو مرحله ای ارائه می دهد، ارائه دهیم. ما دریافتیم که یک کد پیامکی ارسال شده به شماره تلفن بازیابی به مسدود کردن 100٪ ربات های خودکار، 96٪ از حملات فیشینگ انبوه و 76٪ از حملات هدفمند کمک می کند. و درخواست دستگاه برای تأیید تراکنش، جایگزینی امن تر برای پیامک، به جلوگیری از 100٪ ربات های خودکار، 99٪ از حملات فیشینگ انبوه و 90٪ از حملات هدفمند کمک کرد.

حفاظت مبتنی بر مالکیت دستگاه و آگاهی از حقایق خاص به مقابله با ربات‌های خودکار کمک می‌کند، در حالی که حفاظت از مالکیت دستگاه به جلوگیری از فیشینگ و حتی حملات هدفمند کمک می‌کند.

اگر شماره تلفنی در حساب خود تنظیم نکرده‌اید، ممکن است از تکنیک‌های امنیتی ضعیف‌تری بر اساس اطلاعاتی که در مورد شما می‌دانیم استفاده کنیم، مانند آخرین جایی که به حساب خود وارد شده‌اید. این به خوبی در برابر ربات ها عمل می کند، اما سطح محافظت در برابر فیشینگ می تواند تا 10٪ کاهش یابد و عملاً هیچ محافظتی در برابر حملات هدفمند وجود ندارد. این به این دلیل است که صفحات فیشینگ و مهاجمان هدفمند می‌توانند شما را مجبور کنند اطلاعات بیشتری را که ممکن است Google برای تأیید درخواست کند، فاش کنید.

با توجه به مزایای چنین محافظتی، ممکن است بپرسید که چرا برای هر ورود به سیستم نیازی به آن نداریم. پاسخ این است که پیچیدگی بیشتری برای کاربران ایجاد می کند (مخصوصاً برای افراد ناآماده - تقریباً ترجمه.) و خطر تعلیق حساب را افزایش می دهد. این آزمایش نشان داد که 38 درصد از کاربران هنگام ورود به حساب کاربری خود به تلفن خود دسترسی ندارند. 34 درصد دیگر از کاربران نمی توانند آدرس ایمیل ثانویه خود را به خاطر بسپارند.

اگر دسترسی به تلفن خود را از دست داده اید یا نمی توانید به سیستم وارد شوید، همیشه می توانید برای دسترسی به حساب خود به دستگاه مطمئنی که قبلاً از آن وارد شده اید بازگردید.

آشنایی با حملات هک برای استخدام

در جایی که اکثر حفاظت های خودکار بیشتر ربات ها و حملات فیشینگ را مسدود می کنند، حملات هدفمند آسیب رسان تر می شوند. به عنوان بخشی از تلاش های مداوم ما برای نظارت بر تهدیدات هک، ما به طور مداوم در حال شناسایی گروه های جدید مجرمانه هک برای استخدام هستیم که برای هک یک حساب کاربری به طور متوسط ​​750 دلار دریافت می کنند. این مهاجمان اغلب به ایمیل‌های فیشینگ متکی هستند که جعل هویت اعضای خانواده، همکاران، مقامات دولتی یا حتی گوگل هستند. اگر هدف در اولین تلاش فیشینگ تسلیم نشود، حملات بعدی برای بیش از یک ماه ادامه خواهد داشت.

نمونه ای از حمله فیشینگ Man-in-the-Middle که صحت یک رمز عبور را در زمان واقعی تأیید می کند. سپس صفحه فیشینگ از قربانیان می خواهد تا کدهای احراز هویت پیامکی را برای دسترسی به حساب قربانی وارد کنند.

ما تخمین می زنیم که از هر یک میلیون کاربر فقط یک نفر در این خطر بالا قرار دارد. مهاجمان افراد تصادفی را هدف قرار نمی دهند. در حالی که تحقیقات نشان می‌دهد که حفاظت‌های خودکار ما می‌توانند تا ۶۶ درصد از حملات هدف‌مندی را که مطالعه کرده‌ایم به تأخیر انداخته و حتی از آن جلوگیری کنند، ما همچنان توصیه می‌کنیم که کاربران پرخطر با ما ثبت نام کنند. برنامه حفاظت تکمیلی. همانطور که در طول بررسی ما مشاهده شد، کاربرانی که منحصراً از کلیدهای امنیتی استفاده می کنند (یعنی احراز هویت دو مرحله ای با استفاده از کدهای ارسال شده به کاربران - تقریبا. ترجمه)، قربانی spear phishing شده اند.

کمی برای محافظت از حساب خود وقت بگذارید

هنگام مسافرت با اتومبیل از کمربند ایمنی برای محافظت از جان و اندام استفاده می کنید. و با کمک ما پنج نکته می توانید امنیت حساب خود را تضمین کنید.

تحقیقات ما نشان می‌دهد که یکی از ساده‌ترین کارهایی که می‌توانید برای محافظت از حساب Google خود انجام دهید، تنظیم یک شماره تلفن است. برای کاربران پرخطر مانند روزنامه‌نگاران، فعالان اجتماعی، رهبران تجاری و تیم‌های مبارزات سیاسی، برنامه ما است حفاظت پیشرفته به تضمین بالاترین سطح امنیت کمک خواهد کرد. همچنین می‌توانید با نصب افزونه از حساب‌های غیر Google خود در برابر هک رمز عبور محافظت کنید بررسی گذرواژه کروم.

جالب است که گوگل به توصیه هایی که به کاربرانش می دهد عمل نمی کند. گوگل از توکن های سخت افزاری استفاده می کند برای احراز هویت دو مرحله ای برای بیش از 85 کارمند خود. به گفته نمایندگان این شرکت، از زمان شروع استفاده از توکن های سخت افزاری، حتی یک سرقت حساب ثبت نشده است. با ارقام ارائه شده در این گزارش مقایسه کنید. بنابراین واضح است که استفاده از سخت افزار نشانه ها برای احراز هویت دو مرحله ای تنها راه مطمئن برای محافظت هم حساب ها و هم اطلاعات (و در برخی موارد نیز پول).

برای محافظت از حساب‌های Google، برای مثال، از توکن‌هایی استفاده می‌کنیم که طبق استاندارد FIDO U2F ایجاد شده‌اند چنین. و برای احراز هویت دو مرحله ای در سیستم عامل های Windows، Linux و MacOS، توکن های رمزنگاری.

(یادداشت مترجم)

منبع: www.habr.com