Google je objavio "Koliko je učinkovita osnovna higijena računa u sprječavanju krađe računa" o tome što vlasnik računa može učiniti da spriječi da ga kriminalci ukradu. Vašoj pažnji predstavljamo prijevod ove studije.
Istina, najučinkovitija metoda, koju koristi sam Google, nije uključena u izvješće. Morao sam na kraju sam pisati o ovoj metodi.
Svaki dan štitimo korisnike od stotina tisuća pokušaja hakiranja računa. dolazi od automatiziranih robota s pristupom sustavima za probijanje lozinki trećih strana, ali također su prisutni phishing i ciljani napadi. Prethodno smo rekli kako , kao što je dodavanje telefonskog broja, može vam pomoći da ostanete sigurni, ali sada to želimo dokazati u praksi.
Krađa identiteta je pokušaj prevare korisnika da dobrovoljno da napadaču informacije koje će biti korisne u procesu hakiranja. Na primjer, kopiranjem sučelja legalne aplikacije.
Napadi pomoću automatiziranih robota masovni su pokušaji hakiranja koji nisu usmjereni na određene korisnike. Obično se provodi pomoću javno dostupnog softvera i mogu ga koristiti čak i neobučeni "krekeri". Napadači ne znaju ništa o karakteristikama određenih korisnika - oni jednostavno pokreću program i "hvataju" sve slabo zaštićene znanstvene zapise uokolo.
Ciljani napadi su hakiranje određenih računa, pri čemu se prikupljaju dodatne informacije o svakom računu i njegovom vlasniku, pokušaji presretanja i analize prometa, kao i korištenje složenijih hakerskih alata.
(Opomena prevoditelja)
Udružili smo se s istraživačima sa Sveučilišta New York i Sveučilišta Kalifornija kako bismo otkrili koliko je osnovna higijena računa učinkovita u sprječavanju otmice računa.
Godišnja studija o и predstavljen je u srijedu na sastanku stručnjaka, kreatora politika i korisnika tzv .
Naše istraživanje pokazuje da jednostavno dodavanje telefonskog broja vašem Google računu može blokirati do 100% automatiziranih napada robota, 99% skupnih napada krađe identiteta i 66% ciljanih napada u našoj istrazi.
Automatska proaktivna Google zaštita od otmice računa
Implementiramo automatsku proaktivnu zaštitu kako bismo bolje zaštitili sve naše korisnike od hakiranja računa. Evo kako to funkcionira: ako otkrijemo sumnjiv pokušaj prijave (na primjer, s nove lokacije ili uređaja), tražit ćemo dodatni dokaz da ste to doista vi. Ova potvrda može biti potvrda da imate pristup pouzdanom telefonskom broju ili odgovaranje na pitanje na koje samo vi znate točan odgovor.
Ako ste prijavljeni na svoj telefon ili ste naveli telefonski broj u postavkama računa, možemo pružiti istu razinu sigurnosti kao i potvrda u dva koraka. Otkrili smo da je SMS kôd poslan na telefonski broj za oporavak pomogao blokirati 100% automatiziranih botova, 96% masovnih phishing napada i 76% ciljanih napada. A upiti uređaja za potvrdu transakcije, sigurnija zamjena za SMS, pomogli su spriječiti 100% automatiziranih botova, 99% masovnih phishing napada i 90% ciljanih napada.
Zaštita koja se temelji na vlasništvu uređaja i poznavanju određenih činjenica pomaže u borbi protiv automatiziranih robota, dok zaštita vlasništva uređaja pomaže u sprječavanju krađe identiteta, pa čak i ciljanih napada.
Ako nemate postavljen telefonski broj na svom računu, možemo koristiti slabije sigurnosne tehnike na temelju onoga što znamo o vama, kao što je mjesto gdje ste se posljednji put prijavili na svoj račun. Ovo dobro funkcionira protiv botova, ali razina zaštite od krađe identiteta može pasti na 10%, a praktički nema zaštite od ciljanih napada. To je zato što vas stranice za krađu identiteta i ciljani napadači mogu prisiliti da otkrijete sve dodatne informacije koje Google može zatražiti radi provjere.
S obzirom na prednosti takve zaštite, netko bi se mogao zapitati zašto je ne zahtijevamo za svaku prijavu. Odgovor je da bi to dodatno otežalo korisnike (posebno za nespremne - cca. prijevod.) i povećao bi rizik od obustave računa. Eksperiment je otkrio da 38% korisnika nije imalo pristup svom telefonu kada su se prijavili na svoj račun. Drugih 34% korisnika nije se moglo sjetiti svoje sekundarne adrese e-pošte.
Ako ste izgubili pristup svom telefonu ili se ne možete prijaviti, uvijek se možete vratiti na pouzdani uređaj s kojeg ste se prethodno prijavili kako biste pristupili svom računu.
Razumijevanje hack-for-hire napada
Tamo gdje većina automatiziranih zaštita blokira većinu botova i phishing napada, ciljani napadi postaju štetniji. Kao dio naših stalnih nastojanja da , stalno identificiramo nove kriminalne skupine za unajmljivanje koje naplaćuju prosječno 750 dolara za hakiranje jednog računa. Ti se napadači često oslanjaju na phishing e-poruke koje lažno predstavljaju članove obitelji, kolege, vladine službenike ili čak Google. Ako meta ne odustane od prvog pokušaja krađe identiteta, sljedeći napadi nastavljaju se više od mjesec dana.
Primjer phishing napada "čovjek u sredini" koji provjerava ispravnost lozinke u stvarnom vremenu. Stranica za krađu identiteta zatim traži od žrtava da unesu SMS autentifikacijske kodove za pristup žrtvinom računu.
Procjenjujemo da je samo jedan od milijun korisnika u ovako visokom riziku. Napadači ne ciljaju nasumične ljude. Dok istraživanja pokazuju da naše automatizirane zaštite mogu pomoći u odgađanju, pa čak i sprječavanju do 66% ciljanih napada koje smo proučavali, ipak preporučujemo da se visokorizični korisnici registriraju na . Kao što smo primijetili tijekom naše istrage, korisnici koji isključivo koriste sigurnosne ključeve (odnosno autentifikacija u dva koraka pomoću kodova koji se šalju korisnicima - cca. prijevod), postali su žrtve spear phishinga.
Odvojite malo vremena da zaštitite svoj račun
Koristite sigurnosne pojaseve kako biste zaštitili živote i udove dok putujete u automobilu. I to uz pomoć naših možete osigurati sigurnost svog računa.
Naše istraživanje pokazuje da je jedna od najjednostavnijih stvari koje možete učiniti da zaštitite svoj Google račun postavljanje telefonskog broja. Za visokorizične korisnike kao što su novinari, društveni aktivisti, poslovni čelnici i timovi političkih kampanja, naš program pomoći će osigurati najvišu razinu sigurnosti. Također možete zaštititi svoje račune koji nisu Googleovi od hakiranja zaporki instaliranjem proširenja .
Zanimljivo je da se Google ne pridržava savjeta koje daje svojim korisnicima. za dvofaktorsku autentifikaciju za više od 85 svojih zaposlenika. Prema predstavnicima korporacije, od početka korištenja hardverskih tokena nije zabilježena niti jedna krađa računa. Usporedite s brojkama prikazanim u ovom izvješću. Stoga je jasno da korištenje hardvera žetone za autentifikaciju u dva faktora jedini pouzdan način zaštite i računi i informacije (au nekim slučajevima i novac).
Za zaštitu Google računa koriste se npr. tokeni izrađeni prema FIDO U2F standardu . A za dvofaktorsku autentifikaciju u operativnim sustavima Windows, Linux i MacOS, .
(Opomena prevoditelja)
Izvor: www.habr.com