Google hat publisearre "Hoe effektyf is basale accounthygiëne by it foarkommen fan accountstellerij" oer wat in akkounteigner kin dwaan om te foarkommen dat it stellen wurdt troch kriminelen. Wy jouwe jo oandacht in oersetting fan dizze stúdzje.
Wier, de meast effektive metoade, dy't wurdt brûkt troch Google sels, waard net opnommen yn it rapport. Ik moast oan it ein sels oer dizze metoade skriuwe.
Elke dei beskermje wy brûkers tsjin hûnderttûzenen pogingen foar accounthacking. komt fan automatisearre bots mei tagong ta tredden wachtwurden kraken systemen, mar phishing en rjochte oanfallen binne ek oanwêzich. Earder fertelden wy hoe , lykas it tafoegjen fan in telefoannûmer, kin jo helpe om feilich te bliuwen, mar no wolle wy it yn 'e praktyk bewize.
In phishing-oanfal is in besykjen om in brûker te ferrifeljen om de oanfaller frijwillich ynformaasje te jaan dy't nuttich wêze sil yn it hackingproses. Bygelyks troch it kopiearjen fan de ynterface fan in juridyske applikaasje.
Oanfallen mei automatisearre bots binne massive hackingpogingen dy't net rjochte binne op spesifike brûkers. Meastentiids útfierd mei it brûken fan publyklik beskikbere software en kin brûkt wurde sels troch untrained "crackers". Oanfallers witte neat oer de skaaimerken fan spesifike brûkers - se starte gewoan it programma en "fange" alle min beskerme wittenskiplike records rûnom.
Doelrjochte oanfallen binne hacking fan spesifike akkounts, wêryn ekstra ynformaasje wurdt sammele oer elke akkount en har eigner, besykjen om ferkear te ûnderskepen en te analysearjen, en ek it brûken fan kompleksere hacking-ark binne mooglik.
(Opmerking fan 'e oersetter)
Wy hawwe gearwurke mei ûndersikers fan New York University en de Universiteit fan Kalifornje om út te finen hoe effektyf basale accounthygiëne is by it foarkommen fan accountkaping.
Jierlikse stúdzje oer и waard woansdei presintearre op in byienkomst fan saakkundigen, beliedsmakkers en brûkers .
Us ûndersyk lit sjen dat it gewoan tafoegjen fan in telefoannûmer oan jo Google-akkount kin blokkearje oant 100% fan automatisearre bot-oanfallen, 99% fan bulk-phishing-oanfallen, en 66% fan doelgerichte oanfallen yn ús ûndersyk.
Automatyske proaktive Google-beskerming tsjin accountkaping
Wy implementearje automatyske proaktive beskerming om al ús brûkers better te beskermjen tsjin hacking fan akkounts. Hjir is hoe't it wurket: As wy in fertochte oanmeldingspoging ûntdekke (bygelyks fan in nije lokaasje of apparaat), sille wy freegje om ekstra bewiis dat it jo echt binne. Dizze befêstiging kin wêze om te kontrolearjen dat jo tagong hawwe ta in fertroud tillefoannûmer, of it beäntwurdzjen fan in fraach wêrop allinich jo it juste antwurd witte.
As jo binne oanmeld op jo tillefoan of in telefoannûmer opjûn yn jo akkountynstellingen, kinne wy itselde nivo fan feiligens leverje as twa-stap ferifikaasje. Wy fûnen dat in SMS-koade stjoerd nei in tillefoannûmer foar herstel holp 100% fan automatisearre bots, 96% fan bulk-phishing-oanfallen en 76% fan doelgerichte oanfallen te blokkearjen. En apparaat-oanfragen om in transaksje te befêstigjen, in feiliger ferfanging foar SMS, holpen 100% fan automatisearre bots, 99% fan massale phishing-oanfallen en 90% fan doelgerichte oanfallen te foarkommen.
Beskerming basearre op sawol apparaatbesit as kennis fan bepaalde feiten helpt automatisearre bots tsjin te gean, wylst beskerming fan apparaateigendom helpt phishing en sels doelgerichte oanfallen te foarkommen.
As jo gjin telefoannûmer hawwe ynsteld yn jo akkount, kinne wy swakkere befeiligingstechniken brûke op basis fan wat wy oer jo witte, lykas wêr't jo foar it lêst ynlogd hawwe op jo akkount. Dit wurket goed tsjin bots, mar it nivo fan beskerming tsjin phishing kin sakje nei 10%, en der is praktysk gjin beskerming tsjin doelgerichte oanfallen. Dit komt om't phishing-siden en rjochte oanfallers jo kinne twinge om alle ekstra ynformaasje te iepenbierjen dy't Google om ferifikaasje freegje kin.
Sjoen de foardielen fan sa'n beskerming, kin men freegje wêrom't wy it net nedich binne foar elke oanmelding. It antwurd is dat it ekstra kompleksiteit soe meitsje foar brûkers (benammen foar de net taret - ca. oersetting.) en soe it risiko fergrutsje fan akkount skorsing. It eksperimint fûn dat 38% fan brûkers gjin tagong hie ta har tillefoan by it oanmelden op har akkount. In oare 34% fan brûkers koe har sekundêr e-postadres net ûnthâlde.
As jo de tagong ta jo tillefoan ferlern hawwe of jo net kinne oanmelde, kinne jo altyd weromgean nei it fertroude apparaat wêrfan jo earder oanmeld hawwe om tagong te krijen ta jo akkount.
Begripe hack-for-hire oanfallen
Wêr't de measte automatisearre beskermingen de measte bots en phishing-oanfallen blokkearje, wurde rjochte oanfallen skealiker. As ûnderdiel fan ús oanhâldende ynspannings om , wy identifisearje konstant nije kriminele hacking-for-hire-groepen dy't gemiddeld $ 750 betelje om ien akkount te hacken. Dizze oanfallers fertrouwe faak op phishing-e-mails dy't famyljeleden, kollega's, regearingsamtners of sels Google foardogge. As it doel it earste phishingpoging net opjout, geane de folgjende oanfallen mear dan in moanne troch.
In foarbyld fan in man-in-the-middle-phishing-oanfal dy't de krektens fan in wachtwurd yn realtime kontrolearret. De phishing-side freget dan de slachtoffers om SMS-ferifikaasjekoades yn te fieren om tagong te krijen ta it akkount fan it slachtoffer.
Wy skatte dat mar ien op in miljoen brûkers dit hege risiko hat. Oanfallers rjochtsje net op willekeurige minsken. Wylst ûndersyk docht bliken dat ús automatisearre beskermingen kinne helpe te fertrage en sels foarkomme oant 66% fan 'e doelgerichte oanfallen dy't wy hawwe studearre, wy riede noch oan dat brûkers mei hege risiko registrearje by ús . Lykas yn ús ûndersyk is waarnommen, brûkers dy't eksklusyf befeiligingskaaien brûke (dat is, twa-stap autentikaasje mei help fan koades stjoerd nei brûkers - ca. oersetting), binne slachtoffer wurden fan spear phishing.
Nim in bytsje tiid om jo akkount te beskermjen
Jo brûke riemen om libben en ledematen te beskermjen by it reizgjen yn auto's. En mei help fan ús kinne jo soargje foar de feiligens fan jo akkount.
Us ûndersyk lit sjen dat ien fan 'e maklikste dingen dy't jo kinne dwaan om jo Google-akkount te beskermjen is in tillefoannûmer yn te stellen. Foar brûkers mei hege risiko's lykas sjoernalisten, mienskipsaktivisten, bedriuwslieders en politike kampanjeteams, ús programma sil helpe te garandearjen it heechste nivo fan feiligens. Jo kinne jo net-Google-akkounts ek beskermje tsjin wachtwurdhacks troch de tafoeging te ynstallearjen .
It is nijsgjirrich dat Google it advys dat it har brûkers jout net folget. foar twa-faktor autentikaasje foar mear as 85 fan har meiwurkers. Neffens fertsjintwurdigers fan 'e korporaasje, sûnt it begjin fan it brûken fan hardware tokens, is net ien account stellerij opnommen. Ferlykje mei de sifers presintearre yn dit rapport. Sa is it dúdlik dat it gebrûk fan hardware tokens foar twa-faktor autentikaasje de ienige betroubere manier om te beskermjen sawol rekkens as ynformaasje (en yn guon gefallen ek jild).
Om Google-akkounts te beskermjen, brûke wy tokens makke neffens de FIDO U2F-standert, bygelyks . En foar twa-faktor autentikaasje yn Windows, Linux en MacOS bestjoeringssystemen, .
(Opmerking fan 'e oersetter)
Boarne: www.habr.com