Google a publié « Dans quelle mesure l'hygiène de base des comptes est-elle efficace pour prévenir le vol de compte » sur ce qu'un propriétaire de compte peut faire pour empêcher que celui-ci ne soit volé par des criminels. Nous présentons à votre attention une traduction de cette étude.
Certes, la méthode la plus efficace, utilisée par Google lui-même, n'a pas été incluse dans le rapport. J'ai dû écrire moi-même sur cette méthode à la fin.
Chaque jour, nous protégeons les utilisateurs contre des centaines de milliers de tentatives de piratage de compte. provient de robots automatisés ayant accès à des systèmes tiers de piratage de mots de passe, mais le phishing et les attaques ciblées sont également présents. Nous avons expliqué précédemment comment , comme l'ajout d'un numéro de téléphone, peut vous aider à rester en sécurité, mais nous voulons maintenant le prouver dans la pratique.
Une attaque de phishing est une tentative visant à inciter un utilisateur à fournir volontairement à l'attaquant des informations qui seront utiles au processus de piratage. Par exemple, en copiant l’interface d’une application légale.
Les attaques utilisant des robots automatisés sont des tentatives de piratage massives qui ne visent pas des utilisateurs spécifiques. Généralement réalisé à l'aide d'un logiciel accessible au public et peut être utilisé même par des « crackers » non formés. Les attaquants ne savent rien des caractéristiques d'utilisateurs spécifiques - ils lancent simplement le programme et « attrapent » tous les documents scientifiques mal protégés.
Les attaques ciblées sont le piratage de comptes spécifiques, dans lesquels des informations supplémentaires sont collectées sur chaque compte et son propriétaire, des tentatives d'interception et d'analyse du trafic, ainsi que l'utilisation d'outils de piratage plus complexes sont possibles.
(Note du traducteur)
Nous avons collaboré avec des chercheurs de l'Université de New York et de l'Université de Californie pour découvrir dans quelle mesure l'hygiène de base des comptes est efficace pour prévenir le piratage de comptes.
Etude annuelle sur и a été présenté mercredi lors d'une réunion d'experts, de décideurs politiques et d'utilisateurs appelée .
Nos recherches montrent que le simple fait d'ajouter un numéro de téléphone à votre compte Google peut bloquer jusqu'à 100 % des attaques automatisées de robots, 99 % des attaques de phishing en masse et 66 % des attaques ciblées dans notre enquête.
Protection Google proactive et automatique contre le piratage de compte
Nous mettons en œuvre une protection proactive automatique pour mieux protéger tous nos utilisateurs contre le piratage de compte. Voici comment cela fonctionne : Si nous détectons une tentative de connexion suspecte (par exemple, à partir d'un nouvel emplacement ou d'un nouvel appareil), nous vous demanderons une preuve supplémentaire qu'il s'agit bien de vous. Cette confirmation peut consister à vérifier que vous avez accès à un numéro de téléphone fiable ou à répondre à une question dont vous seul connaissez la bonne réponse.
Si vous êtes connecté à votre téléphone ou avez fourni un numéro de téléphone dans les paramètres de votre compte, nous pouvons fournir le même niveau de sécurité qu'une vérification en deux étapes. Nous avons constaté qu'un code SMS envoyé à un numéro de téléphone de récupération permettait de bloquer 100 % des robots automatisés, 96 % des attaques de phishing en masse et 76 % des attaques ciblées. Et les invites de l'appareil pour confirmer une transaction, un remplacement plus sécurisé des SMS, ont permis d'empêcher 100 % des robots automatisés, 99 % des attaques de phishing de masse et 90 % des attaques ciblées.
La protection basée à la fois sur la propriété de l'appareil et sur la connaissance de certains faits permet de contrer les robots automatisés, tandis que la protection de la propriété de l'appareil aide à prévenir le phishing et même les attaques ciblées.
Si vous n'avez pas de numéro de téléphone configuré dans votre compte, nous pouvons utiliser des techniques de sécurité plus faibles en fonction de ce que nous savons de vous, comme l'endroit où vous vous êtes connecté pour la dernière fois à votre compte. Cela fonctionne bien contre les robots, mais le niveau de protection contre le phishing peut chuter jusqu'à 10 % et il n'y a pratiquement aucune protection contre les attaques ciblées. En effet, les pages de phishing et les attaquants ciblés peuvent vous obliger à révéler toute information supplémentaire que Google pourrait demander à des fins de vérification.
Compte tenu des avantages d’une telle protection, on pourrait se demander pourquoi nous ne l’exigeons pas à chaque connexion. La réponse est que cela créerait une complexité supplémentaire pour les utilisateurs (surtout pour les non préparés - env. traduction.) et augmenterait le risque de suspension de compte. L'expérience a révélé que 38 % des utilisateurs n'avaient pas accès à leur téléphone lorsqu'ils se connectaient à leur compte. 34 % des utilisateurs ne se souviennent pas de leur adresse e-mail secondaire.
Si vous avez perdu l'accès à votre téléphone ou si vous ne parvenez pas à vous connecter, vous pouvez toujours revenir à l'appareil de confiance à partir duquel vous vous êtes précédemment connecté pour accéder à votre compte.
Comprendre les attaques de piratage informatique
Là où la plupart des protections automatisées bloquent la plupart des robots et des attaques de phishing, les attaques ciblées deviennent plus dommageables. Dans le cadre de nos efforts continus pour , nous identifions constamment de nouveaux groupes criminels de piratage informatique qui facturent en moyenne 750 $ pour pirater un compte. Ces attaquants s'appuient souvent sur des e-mails de phishing usurpant l'identité de membres de la famille, de collègues, de représentants du gouvernement ou même de Google. Si la cible n’abandonne pas dès la première tentative de phishing, les attaques suivantes se poursuivent pendant plus d’un mois.
Un exemple d'attaque de phishing de type man-in-the-middle qui vérifie l'exactitude d'un mot de passe en temps réel. La page de phishing invite ensuite les victimes à saisir des codes d'authentification SMS pour accéder au compte de la victime.
Nous estimons que seul un utilisateur sur un million court un risque aussi élevé. Les attaquants ne ciblent pas des personnes au hasard. Même si les recherches montrent que nos protections automatisées peuvent aider à retarder et même empêcher jusqu'à 66 % des attaques ciblées que nous avons étudiées, nous recommandons néanmoins aux utilisateurs à haut risque de s'inscrire sur notre site Web. . Comme nous l'avons observé lors de notre enquête, les utilisateurs qui utilisent exclusivement des clés de sécurité (c'est-à-dire une authentification en deux étapes à l'aide de codes envoyés aux utilisateurs - env. traduction), ont été victimes de spear phishing.
Prenez un peu de temps pour protéger votre compte
Vous utilisez les ceintures de sécurité pour protéger votre vie et votre intégrité physique lorsque vous voyagez en voiture. Et avec l'aide de notre vous pouvez assurer la sécurité de votre compte.
Nos recherches montrent que l'une des choses les plus simples que vous puissiez faire pour protéger votre compte Google est de configurer un numéro de téléphone. Pour les utilisateurs à haut risque tels que les journalistes, les militants communautaires, les chefs d'entreprise et les équipes de campagne politique, notre programme contribuera à garantir le plus haut niveau de sécurité. Vous pouvez également protéger vos comptes non Google contre le piratage de mots de passe en installant l'extension .
Il est intéressant de noter que Google ne suit pas les conseils qu'il donne à ses utilisateurs. pour l'authentification à deux facteurs pour plus de 85 000 de ses employés. Selon les représentants de la société, depuis le début de l'utilisation des jetons matériels, aucun vol de compte n'a été enregistré. Comparez avec les chiffres présentés dans ce rapport. Il est donc clair que l'utilisation de matériel jetons pour l'authentification à deux facteurs le seul moyen fiable de protéger à la fois des comptes et des informations (et dans certains cas également de l'argent).
Pour protéger les comptes Google, nous utilisons par exemple des tokens créés selon la norme FIDO U2F . Et pour l'authentification à deux facteurs dans les systèmes d'exploitation Windows, Linux et MacOS, .
(Note du traducteur)
Source: habr.com