Google-ը հրապարակել է «Որքանո՞վ է արդյունավետ հաշվի հիմնական հիգիենան՝ կանխելու հաշվի գողությունը», այն մասին, թե ինչ կարող է անել հաշվի սեփականատերը, որպեսզի կանխի այն գողանալը հանցագործների կողմից: Ձեր ուշադրությանն ենք ներկայացնում այս ուսումնասիրության թարգմանությունը.
Ճիշտ է, ամենաարդյունավետ մեթոդը, որն օգտագործում է հենց Google-ը, չի ներառվել զեկույցում։ Վերջում ես ինքս պետք է գրեի այս մեթոդի մասին։
Ամեն օր մենք պաշտպանում ենք օգտատերերին հաշիվների կոտրման հարյուր հազարավոր փորձերից: գալիս է ավտոմատացված բոտերից, որոնք հասանելի են երրորդ կողմի գաղտնաբառերի կոտրման համակարգերին, սակայն առկա են նաև ֆիշինգ և նպատակային հարձակումներ: Նախկինում պատմել էինք, թե ինչպես , օրինակ՝ հեռախոսահամար ավելացնելը, կարող է օգնել ձեզ ապահով մնալ, բայց հիմա մենք ուզում ենք դա գործնականում ապացուցել:
Ֆիշինգային հարձակումը օգտատիրոջը խաբելու փորձ է, որպեսզի կամավոր տրամադրի հարձակվողին տեղեկատվություն, որն օգտակար կլինի հաքերային գործընթացում: Օրինակ՝ օրինական հավելվածի միջերեսը պատճենելով։
Ավտոմատացված բոտերի օգտագործմամբ հարձակումները զանգվածային հաքերային փորձեր են, որոնք ուղղված չեն կոնկրետ օգտատերերի: Սովորաբար իրականացվում է հանրային հասանելի ծրագրաշարի միջոցով և կարող է օգտագործվել նույնիսկ չվարժված «կրեկերների» կողմից: Հարձակվողները ոչինչ չգիտեն կոնկրետ օգտատերերի բնութագրերի մասին. նրանք պարզապես գործարկում են ծրագիրը և «բռնում» շուրջբոլոր վատ պաշտպանված գիտական գրառումները:
Թիրախային հարձակումները հատուկ աքաունթների կոտրումն են, որոնցում հավելյալ տեղեկություններ են հավաքվում յուրաքանչյուր հաշվի և դրա սեփականատիրոջ մասին, հնարավոր են թրաֆիկը որսալու և վերլուծելու փորձեր, ինչպես նաև հաքերային ավելի բարդ գործիքների օգտագործում:
(Թարգմանչի գրառումը)
Մենք միավորվեցինք Նյու Յորքի և Կալիֆոռնիայի համալսարանի հետազոտողների հետ՝ պարզելու, թե որքան արդյունավետ է հաշվի հիգիենայի հիմնական հիգիենան հաշիվների առևանգումը կանխելու համար:
մասին տարեկան ուսումնասիրություն и ներկայացվել է չորեքշաբթի օրը հրավիրված փորձագետների, քաղաքականություն մշակողների և օգտատերերի հանդիպմանը .
Մեր հետազոտությունը ցույց է տալիս, որ պարզապես հեռախոսահամար ավելացնելով ձեր Google հաշվին կարող է արգելափակվել բոտերի ավտոմատացված հարձակումների մինչև 100%-ը, ֆիշինգի զանգվածային հարձակումների 99%-ը և մեր հետազոտության նպատակային հարձակումների 66%-ը:
Google-ի ավտոմատ պրոակտիվ պաշտպանություն հաշվի առևանգումից
Մենք իրականացնում ենք ավտոմատ պրոակտիվ պաշտպանություն՝ մեր բոլոր օգտատերերին հաշիվների կոտրումից ավելի լավ պաշտպանելու համար: Ահա թե ինչպես է դա աշխատում. Եթե մենք հայտնաբերենք մուտքի կասկածելի փորձ (օրինակ՝ նոր վայրից կամ սարքից), մենք լրացուցիչ ապացույցներ կխնդրենք, որ դա իսկապես դուք եք: Այս հաստատումը կարող է լինել վստահելի հեռախոսահամարի հասանելիության հաստատում կամ պատասխանել այն հարցին, որին միայն դուք գիտեք ճիշտ պատասխանը:
Եթե դուք մուտք եք գործել ձեր հեռախոս կամ տրամադրել եք հեռախոսահամար ձեր հաշվի կարգավորումներում, մենք կարող ենք ապահովել նույն անվտանգության մակարդակը, ինչ երկքայլ հաստատումը: Մենք պարզեցինք, որ վերականգնման հեռախոսահամարին ուղարկված SMS կոդը օգնել է արգելափակել ավտոմատացված բոտերի 100%-ը, զանգվածային ֆիշինգի հարձակումների 96%-ը և նպատակային հարձակումների 76%-ը: Եվ սարքը հուշում է հաստատել գործարքը, որն ավելի ապահով փոխարինում է SMS-ին, օգնել է կանխել ավտոմատացված բոտերի 100%-ը, զանգվածային ֆիշինգի հարձակումների 99%-ը և նպատակային հարձակումների 90%-ը:
Պաշտպանությունը, որը հիմնված է ինչպես սարքի սեփականության, այնպես էլ որոշակի փաստերի իմացության վրա, օգնում է հակազդել ավտոմատացված բոտերին, մինչդեռ սարքի սեփականության պաշտպանությունն օգնում է կանխել ֆիշինգը և նույնիսկ նպատակային հարձակումները:
Եթե ձեր հաշվում հաստատված հեռախոսահամար չունեք, մենք կարող ենք օգտագործել ավելի թույլ անվտանգության մեթոդներ՝ հիմնվելով ձեր մասին մեր իմացածի վրա, օրինակ՝ որտեղ եք վերջին անգամ մուտք գործել ձեր հաշիվ: Սա լավ է աշխատում բոտերի դեմ, բայց ֆիշինգից պաշտպանվածության մակարդակը կարող է իջնել մինչև 10%, և գործնականում չկա պաշտպանություն նպատակային հարձակումներից: Դա պայմանավորված է նրանով, որ ֆիշինգի էջերը և թիրախավորված հարձակվողները կարող են ստիպել ձեզ բացահայտել ցանկացած լրացուցիչ տեղեկություն, որը Google-ը կարող է խնդրել ստուգման համար:
Հաշվի առնելով նման պաշտպանության առավելությունները, կարելի է հարցնել, թե ինչու մենք դա չենք պահանջում յուրաքանչյուր մուտքի համար: Պատասխանն այն է, որ դա լրացուցիչ բարդություն կստեղծի օգտագործողների համար (հատկապես անպատրաստների համար՝ մոտ. թարգմանությունը.) և կբարձրացներ հաշվի կասեցման վտանգը: Փորձի արդյունքում պարզվել է, որ օգտատերերի 38%-ը մուտք չի գործել իրենց հեռախոսը, երբ մուտք է գործել իրենց հաշիվ: Օգտատերերի ևս 34%-ը չի կարողացել հիշել իրենց երկրորդական էլ.փոստի հասցեն:
Եթե կորցրել եք ձեր հեռախոսի հասանելիությունը կամ չեք կարող մուտք գործել, միշտ կարող եք վերադառնալ վստահելի սարք, որտեղից նախկինում մուտք եք գործել՝ ձեր հաշիվ մուտք գործելու համար:
Հասկանալով վարձու հաքերային հարձակումները
Այնտեղ, որտեղ ավտոմատացված պաշտպանությունների մեծ մասը արգելափակում է բոտերի և ֆիշինգի հարձակումների մեծ մասը, նպատակային հարձակումները դառնում են ավելի վնասակար: Որպես մեր շարունակական ջանքերի մի մաս, որպեսզի , մենք մշտապես հայտնաբերում ենք վարձու հաքերային նոր հանցավոր խմբեր, որոնք միջինը 750 դոլար են գանձում մեկ հաշիվ կոտրելու համար: Այս հարձակվողները հաճախ ապավինում են ֆիշինգային նամակներին, որոնք ներկայացնում են ընտանիքի անդամներին, գործընկերներին, պետական պաշտոնյաներին կամ նույնիսկ Google-ին: Եթե թիրախը չի հրաժարվում ֆիշինգի առաջին փորձից, հաջորդ հարձակումները շարունակվում են ավելի քան մեկ ամիս:
«Մարդը միջինում» ֆիշինգի հարձակման օրինակ, որն իրական ժամանակում ստուգում է գաղտնաբառի ճիշտությունը: Այնուհետև ֆիշինգի էջը զոհերին հուշում է մուտքագրել SMS վավերացման կոդեր՝ զոհի հաշիվ մուտք գործելու համար:
Մենք գնահատում ենք, որ միլիոն օգտատերերից միայն մեկն է այս բարձր ռիսկի տակ: Հարձակվողները չեն թիրախավորում պատահական մարդկանց: Թեև հետազոտությունը ցույց է տալիս, որ մեր ավտոմատացված պաշտպանությունը կարող է օգնել հետաձգել և նույնիսկ կանխել մեր ուսումնասիրած թիրախային հարձակումների մինչև 66%-ը, այնուամենայնիվ, մենք խորհուրդ ենք տալիս բարձր ռիսկային օգտատերերին գրանցվել մեր կայքում: . Ինչպես նկատվեց մեր հետաքննության ընթացքում, օգտվողները, ովքեր օգտագործում են բացառապես անվտանգության բանալիներ (այսինքն՝ երկքայլ նույնականացում՝ օգտագործողներին ուղարկված կոդերի միջոցով՝ մոտ. թարգմանությունը), դարձել են նիզակային ֆիշինգի զոհ։
Մի քիչ ժամանակ տրամադրեք ձեր հաշիվը պաշտպանելու համար
Մեքենաներով ճանապարհորդելիս դուք օգտագործում եք ամրագոտիներ կյանքը և վերջույթները պաշտպանելու համար: Եվ մեր օգնությամբ դուք կարող եք ապահովել ձեր հաշվի անվտանգությունը:
Մեր հետազոտությունը ցույց է տալիս, որ ձեր Google հաշիվը պաշտպանելու համար ամենահեշտ բաներից մեկը հեռախոսահամար սահմանելն է: Բարձր ռիսկային օգտատերերի համար, ինչպիսիք են լրագրողները, համայնքային ակտիվիստները, բիզնես առաջնորդները և քաղաքական քարոզարշավի թիմերը, մեր ծրագիրը կօգնի ապահովել անվտանգության ամենաբարձր մակարդակը: Դուք կարող եք նաև պաշտպանել ձեր ոչ Google հաշիվները գաղտնաբառերի կոտրումից՝ տեղադրելով ընդլայնումը .
Հետաքրքիր է, որ Google-ը չի հետևում իր օգտատերերի խորհուրդներին։ իր ավելի քան 85 աշխատակիցների համար երկգործոն նույնականացման համար: Կորպորացիայի ներկայացուցիչների խոսքով՝ ապարատային ժետոնների օգտագործման մեկնարկից ի վեր ոչ մի հաշվի գողություն չի գրանցվել։ Համեմատեք այս զեկույցում ներկայացված թվերի հետ։ Այսպիսով, պարզ է, որ ապարատային օգտագործումը նշաններ երկու գործոնով իսկորոշման համար պաշտպանության միակ հուսալի միջոցը ինչպես հաշիվներ, այնպես էլ տեղեկատվություն (իսկ որոշ դեպքերում նաև փող):
Google-ի հաշիվները պաշտպանելու համար մենք, օրինակ, օգտագործում ենք FIDO U2F ստանդարտի համաձայն ստեղծված թոքեններ . Իսկ Windows, Linux և MacOS օպերացիոն համակարգերում երկգործոն նույնականացման համար, .
(Թարգմանչի գրառումը)
Source: www.habr.com