Google publicou "Que eficaz é a hixiene básica das contas para evitar o roubo de contas" sobre o que pode facer o propietario dunha conta para evitar que sexan roubadas polos criminais. Presentamos á súa atención unha tradución deste estudo.
É certo que o método máis eficaz, que é utilizado polo propio Google, non foi incluído no informe. Tiven que escribir eu mesmo sobre este método ao final.
Todos os días protexemos aos usuarios de centos de miles de intentos de pirateo de contas. provén de bots automatizados con acceso a sistemas de descifrado de contrasinais de terceiros, pero tamén están presentes ataques de phishing e dirixidos. Antes contamos como , como engadir un número de teléfono, pode axudarche a estar seguro, pero agora queremos demostralo na práctica.
Un ataque de phishing é un intento de enganar a un usuario para que lle proporcione voluntariamente información ao atacante que lle será útil no proceso de hackeo. Por exemplo, copiando a interface dunha aplicación legal.
Os ataques que usan bots automatizados son intentos de pirateo masivo que non están dirixidos a usuarios específicos. Normalmente realízase mediante software dispoñible para o público e pode ser usado mesmo por "crackers" non adestrados. Os atacantes non saben nada sobre as características de usuarios específicos: simplemente lanzan o programa e "captan" todos os rexistros científicos mal protexidos.
Os ataques dirixidos son a piratería de contas específicas, na que se recolle información adicional sobre cada conta e o seu propietario, os intentos de interceptar e analizar o tráfico, así como o uso de ferramentas de piratería máis complexas son posibles.
(Nota do tradutor)
Colaborámonos con investigadores da Universidade de Nova York e da Universidade de California para descubrir a eficacia da hixiene básica das contas para evitar o secuestro de contas.
Estudo anual sobre и foi presentado o mércores nunha reunión de expertos, responsables políticos e usuarios convocada .
A nosa investigación mostra que simplemente engadir un número de teléfono á túa conta de Google pode bloquear ata o 100 % dos ataques de bot automatizados, o 99 % dos ataques de phishing masivo e o 66 % dos ataques dirixidos á nosa investigación.
Protección proactiva automática de Google contra o secuestro de contas
Implementamos protección proactiva automática para protexer mellor a todos os nosos usuarios contra a piratería de contas. Así é como funciona: se detectamos un intento de inicio de sesión sospeitoso (por exemplo, desde unha localización ou dispositivo novo), pedirémosche unha proba adicional de que es realmente ti. Esta confirmación podería ser verificar que tes acceso a un número de teléfono de confianza ou responder a unha pregunta da que só ti coñeces a resposta correcta.
Se iniciaches sesión no teu teléfono ou proporcionaches un número de teléfono na configuración da túa conta, podemos ofrecer o mesmo nivel de seguridade que a verificación en dous pasos. Descubrimos que un código SMS enviado a un número de teléfono de recuperación axudou a bloquear o 100 % dos bots automatizados, o 96 % dos ataques de phishing masivo e o 76 % dos ataques dirixidos. E as indicacións do dispositivo para confirmar unha transacción, un substituto máis seguro de SMS, axudaron a evitar o 100 % dos robots automatizados, o 99 % dos ataques de phishing masivos e o 90 % dos ataques dirixidos.
A protección baseada tanto na propiedade do dispositivo como no coñecemento de certos feitos axuda a contrarrestar os bots automatizados, mentres que a protección da propiedade do dispositivo axuda a evitar o phishing e mesmo os ataques dirixidos.
Se non tes un número de teléfono configurado na túa conta, é posible que utilicemos técnicas de seguridade máis débiles en función do que sabemos sobre ti, como onde iniciaches sesión por última vez na túa conta. Isto funciona ben contra os bots, pero o nivel de protección contra o phishing pode baixar ata o 10% e practicamente non hai protección contra ataques dirixidos. Isto débese a que as páxinas de phishing e os atacantes dirixidos poden obrigarche a revelar calquera información adicional que Google poida solicitar para a verificación.
Tendo en conta os beneficios desta protección, pódese preguntar por que non a necesitamos para cada inicio de sesión. A resposta é que crearía unha complexidade adicional para os usuarios (especialmente para os non preparados - aprox. tradución.) e aumentaría o risco de suspensión da conta. O experimento descubriu que o 38% dos usuarios non tiñan acceso ao seu teléfono ao iniciar sesión na súa conta. Outro 34% dos usuarios non lembraba o seu enderezo de correo electrónico secundario.
Se perdeches o acceso ao teu teléfono ou non podes iniciar sesión, sempre podes volver ao dispositivo de confianza desde o que iniciaches sesión anteriormente para acceder á túa conta.
Comprender os ataques de hack-for-hire
Onde a maioría das proteccións automatizadas bloquean a maioría dos bots e ataques de phishing, os ataques dirixidos fanse máis prexudiciais. Como parte dos nosos esforzos continuos para , estamos constantemente identificando novos grupos criminais de piratería por aluguer que cobran unha media de 750 dólares por piratear unha conta. Estes atacantes adoitan depender de correos electrónicos de suplantación de identidade que suplantan a identidade de familiares, compañeiros, funcionarios do goberno ou mesmo de Google. Se o obxectivo non se rende no primeiro intento de phishing, os ataques posteriores continúan durante máis dun mes.
Un exemplo de ataque de phishing de tipo man-in-the-middle que verifica a corrección dun contrasinal en tempo real. A páxina de phishing pídelles ás vítimas que introduzan códigos de autenticación SMS para acceder á conta da vítima.
Estimamos que só un de cada millón de usuarios corre este alto risco. Os atacantes non apuntan a persoas aleatorias. Aínda que a investigación mostra que as nosas proteccións automatizadas poden axudar a atrasar e mesmo evitar ata o 66 % dos ataques dirixidos que estudamos, aínda recomendamos que os usuarios de alto risco se rexistren no noso . Como se observou durante a nosa investigación, os usuarios que usan exclusivamente chaves de seguranza (é dicir, autenticación en dous pasos mediante códigos enviados aos usuarios - aprox. tradución), convertéronse en vítimas de spear phishing.
Dedica un pouco de tempo a protexer a túa conta
Usas cintos de seguridade para protexer a vida e as extremidades mentres viaxas en coches. E coa axuda do noso pode garantir a seguridade da súa conta.
A nosa investigación mostra que unha das cousas máis sinxelas que podes facer para protexer a túa conta de Google é configurar un número de teléfono. Para usuarios de alto risco, como xornalistas, activistas comunitarios, líderes empresariais e equipos de campaña política, o noso programa contribuirá a garantir o máis alto nivel de seguridade. Tamén podes protexer as túas contas que non sexan de Google contra pirateos de contrasinais instalando a extensión .
É interesante que Google non segue os consellos que dá aos seus usuarios. para a autenticación de dous factores para máis de 85 dos seus empregados. Segundo os representantes da corporación, desde o inicio do uso de tokens de hardware, non se rexistrou nin un só roubo de conta. Compare coas cifras presentadas neste informe. Así, está claro que o uso de hardware fichas para a autenticación de dous factores a única forma fiable de protexer tanto contas como información (e nalgúns casos tamén diñeiro).
Para protexer as contas de Google, usamos tokens creados segundo o estándar FIDO U2F, por exemplo . E para a autenticación de dous factores nos sistemas operativos Windows, Linux e MacOS, .
(Nota do tradutor)
Fonte: www.habr.com