Google telah menerbitkannya “Seberapa efektif kebersihan akun dasar dalam mencegah pencurian akun” tentang apa yang dapat dilakukan pemilik akun untuk mencegahnya dicuri oleh penjahat. Kami mempersembahkan kepada Anda terjemahan dari penelitian ini.
Benar, metode paling efektif yang digunakan oleh Google sendiri tidak disertakan dalam laporan. Saya sendiri harus menulis tentang metode ini di bagian akhir.
Setiap hari kami melindungi pengguna dari ratusan ribu upaya peretasan akun. berasal dari bot otomatis dengan akses ke sistem peretas kata sandi pihak ketiga, namun phishing dan serangan yang ditargetkan juga ada. Sebelumnya kami telah memberi tahu caranya , seperti menambahkan nomor telepon, dapat membantu Anda tetap aman, namun kini kami ingin membuktikannya dalam praktik.
Serangan phishing adalah upaya untuk mengelabui pengguna agar secara sukarela memberikan informasi kepada penyerang yang akan berguna dalam proses peretasan. Misalnya dengan menyalin antarmuka aplikasi legal.
Serangan menggunakan bot otomatis merupakan upaya peretasan besar-besaran yang tidak ditujukan pada pengguna tertentu. Biasanya dilakukan dengan menggunakan perangkat lunak yang tersedia untuk umum dan dapat digunakan bahkan oleh “cracker” yang tidak terlatih. Penyerang tidak tahu apa-apa tentang karakteristik pengguna tertentu - mereka hanya meluncurkan program dan “menangkap” semua catatan ilmiah yang tidak dilindungi dengan baik.
Serangan yang ditargetkan adalah peretasan akun tertentu, yang mengumpulkan informasi tambahan tentang setiap akun dan pemiliknya, upaya untuk mencegat dan menganalisis lalu lintas, serta penggunaan alat peretasan yang lebih kompleks.
(Catatan Penerjemah)
Kami bekerja sama dengan peneliti dari New York University dan University of California untuk mengetahui seberapa efektif kebersihan akun dasar dalam mencegah pembajakan akun.
Studi tahunan tentang и dipresentasikan pada hari Rabu pada pertemuan para ahli, pembuat kebijakan dan pengguna yang disebut .
Penelitian kami menunjukkan bahwa menambahkan nomor telepon ke akun Google Anda dapat memblokir hingga 100% serangan bot otomatis, 99% serangan phishing massal, dan 66% serangan bertarget dalam penyelidikan kami.
Perlindungan Google proaktif otomatis terhadap pembajakan akun
Kami menerapkan perlindungan proaktif otomatis untuk lebih melindungi semua pengguna kami dari peretasan akun. Begini cara kerjanya: Jika kami mendeteksi upaya login yang mencurigakan (misalnya, dari lokasi atau perangkat baru), kami akan meminta bukti tambahan bahwa itu memang Anda. Konfirmasi ini dapat berupa verifikasi bahwa Anda memiliki akses ke nomor telepon tepercaya, atau menjawab pertanyaan yang hanya Anda yang tahu jawaban benarnya.
Jika Anda masuk ke ponsel atau memberikan nomor telepon di pengaturan akun Anda, kami dapat memberikan tingkat keamanan yang sama seperti verifikasi dua langkah. Kami menemukan bahwa kode SMS yang dikirim ke nomor telepon pemulihan membantu memblokir 100% bot otomatis, 96% serangan phishing massal, dan 76% serangan yang ditargetkan. Dan perintah perangkat untuk mengonfirmasi transaksi, pengganti SMS yang lebih aman, membantu mencegah 100% bot otomatis, 99% serangan phishing massal, dan 90% serangan yang ditargetkan.
Perlindungan berdasarkan kepemilikan perangkat dan pengetahuan tentang fakta tertentu membantu melawan bot otomatis, sementara perlindungan kepemilikan perangkat membantu mencegah phishing dan bahkan serangan yang ditargetkan.
Jika Anda belum mengatur nomor telepon di akun Anda, kami mungkin menggunakan teknik keamanan yang lebih lemah berdasarkan apa yang kami ketahui tentang Anda, seperti di mana terakhir kali Anda masuk ke akun Anda. Ini bekerja dengan baik terhadap bot, namun tingkat perlindungan terhadap phishing bisa turun hingga 10%, dan hampir tidak ada perlindungan terhadap serangan yang ditargetkan. Hal ini karena laman phishing dan penyerang yang ditargetkan dapat memaksa Anda untuk mengungkapkan informasi tambahan apa pun yang mungkin diminta Google untuk verifikasi.
Mengingat manfaat perlindungan tersebut, orang mungkin bertanya mengapa kami tidak mewajibkannya untuk setiap login. Jawabannya adalah hal ini akan menciptakan kompleksitas tambahan bagi pengguna (khusus untuk yang tidak siap - kira-kira. terjemahan.) dan akan meningkatkan risiko penangguhan akun. Eksperimen tersebut menemukan bahwa 38% pengguna tidak memiliki akses ke ponsel mereka saat masuk ke akun mereka. 34% pengguna lainnya tidak dapat mengingat alamat email sekunder mereka.
Jika Anda kehilangan akses ke ponsel atau tidak dapat masuk, Anda selalu dapat kembali ke perangkat tepercaya yang Anda gunakan untuk masuk sebelumnya untuk mengakses akun Anda.
Memahami serangan hack-for-hire
Ketika sebagian besar perlindungan otomatis memblokir sebagian besar serangan bot dan phishing, serangan yang ditargetkan menjadi lebih merusak. Sebagai bagian dari upaya berkelanjutan kami untuk , kami terus-menerus mengidentifikasi kelompok peretas kriminal baru yang mengenakan biaya rata-rata $750 untuk meretas satu akun. Penyerang ini sering kali mengandalkan email phishing yang menyamar sebagai anggota keluarga, kolega, pejabat pemerintah, atau bahkan Google. Jika target tidak menyerah pada upaya phishing pertama, serangan berikutnya akan berlanjut selama lebih dari sebulan.
Contoh serangan phishing man-in-the-middle yang memverifikasi kebenaran kata sandi secara real time. Halaman phishing kemudian meminta korban memasukkan kode otentikasi SMS untuk mengakses akun korban.
Kami memperkirakan hanya satu dari sejuta pengguna yang menghadapi risiko setinggi ini. Penyerang tidak menargetkan orang sembarangan. Meskipun penelitian menunjukkan bahwa perlindungan otomatis kami dapat membantu menunda dan bahkan mencegah hingga 66% serangan bertarget yang telah kami pelajari, kami tetap menyarankan agar pengguna berisiko tinggi mendaftar ke kami . Seperti yang diamati selama penyelidikan kami, pengguna yang secara eksklusif menggunakan kunci keamanan (yaitu, otentikasi dua langkah menggunakan kode yang dikirimkan ke pengguna - kira-kira. terjemahan), telah menjadi korban spear phishing.
Luangkan sedikit waktu untuk melindungi akun Anda
Anda menggunakan sabuk pengaman untuk melindungi kehidupan dan anggota tubuh saat bepergian dengan mobil. Dan dengan bantuan kami Anda dapat memastikan keamanan akun Anda.
Penelitian kami menunjukkan bahwa salah satu hal termudah yang dapat Anda lakukan untuk melindungi Akun Google Anda adalah dengan menyiapkan nomor telepon. Untuk pengguna berisiko tinggi seperti jurnalis, aktivis komunitas, pemimpin bisnis, dan tim kampanye politik, program kami akan membantu memastikan tingkat keamanan tertinggi. Anda juga dapat melindungi akun non-Google Anda dari peretasan kata sandi dengan memasang ekstensi .
Menariknya, Google tidak mengikuti saran yang diberikan kepada penggunanya. untuk otentikasi dua faktor untuk lebih dari 85 karyawannya. Menurut perwakilan perusahaan, sejak awal penggunaan token perangkat keras, tidak ada satu pun pencurian akun yang tercatat. Bandingkan dengan angka-angka yang disajikan dalam laporan ini. Dengan demikian jelaslah penggunaan hardware token untuk otentikasi dua faktor satu-satunya cara yang dapat diandalkan untuk melindungi baik rekening maupun informasi (dan dalam beberapa kasus juga uang).
Untuk melindungi akun Google, misalnya, token yang dibuat sesuai dengan standar FIDO U2F digunakan . Dan untuk otentikasi dua faktor di sistem operasi Windows, Linux dan MacOS, .
(Catatan Penerjemah)
Sumber: www.habr.com