Google hefur gefið út „Hversu árangursríkt er grunnhreinlæti reikninga til að koma í veg fyrir reikningsþjófnað“ um hvað reikningseigandi getur gert til að koma í veg fyrir að honum sé stolið af glæpamönnum. Við kynnum þér þýðingu á þessari rannsókn.
Að vísu var áhrifaríkasta aðferðin, sem er notuð af Google sjálfu, ekki með í skýrslunni. Ég þurfti sjálfur að skrifa um þessa aðferð í lokin.
Á hverjum degi verndum við notendur fyrir hundruðum þúsunda tilrauna til reiðhestur reikninga. kemur frá sjálfvirkum vélmennum með aðgang að þriðja aðila til að sprunga lykilorð, en vefveiðar og markvissar árásir eru einnig til staðar. Áður sögðum við hvernig , eins og að bæta við símanúmeri, getur hjálpað þér að vera öruggur, en nú viljum við sanna það í reynd.
Vefveiðaárás er tilraun til að blekkja notanda til að gefa árásarmanninum af fúsum og frjálsum vilja upplýsingar sem munu koma að gagni í innbrotsferlinu. Til dæmis með því að afrita viðmót lagalegrar umsóknar.
Árásir með því að nota sjálfvirka vélmenni eru gríðarlegar tilraunir til reiðhesturs sem ekki beinast að tilteknum notendum. Venjulega framkvæmt með því að nota opinberan hugbúnað og er hægt að nota jafnvel af óþjálfuðum „kexum“. Árásarmenn vita ekkert um eiginleika tiltekinna notenda - þeir ræsa einfaldlega forritið og „ná“ allar illa vernduðu vísindagögnin í kring.
Markvissar árásir eru innbrot á tiltekna reikninga, þar sem viðbótarupplýsingum er safnað um hvern reikning og eiganda hans, tilraunir til að stöðva og greina umferð, auk þess sem hægt er að nota flóknari innbrotsverkfæri.
(Athugasemd þýðanda)
Við tókum höndum saman við vísindamenn frá New York háskólanum og háskólanum í Kaliforníu til að komast að því hversu áhrifaríkt grunnhreinlæti reikninga er til að koma í veg fyrir rán á reikningum.
Árleg rannsókn um и var kynnt á miðvikudaginn á fundi sérfræðinga, stefnumótenda og notenda sem boðaður var .
Rannsóknir okkar sýna að með því einu að bæta símanúmeri við Google reikninginn þinn getur það komið í veg fyrir allt að 100% af sjálfvirkum botnaárásum, 99% af lausum vefveiðum og 66% af markvissum árásum í rannsókn okkar.
Sjálfvirk fyrirbyggjandi vörn Google gegn ræningi á reikningi
Við innleiðum sjálfvirka fyrirbyggjandi vernd til að vernda alla notendur okkar betur gegn innbroti á reikninga. Svona virkar það: Ef við uppgötvum grunsamlega innskráningartilraun (til dæmis frá nýjum stað eða tæki) munum við biðja um frekari sönnun fyrir því að þetta sért í raun og veru þú. Þessi staðfesting gæti verið að staðfesta að þú hafir aðgang að traustu símanúmeri eða að svara spurningu sem aðeins þú veist rétt svar við.
Ef þú ert skráð(ur) inn í símann þinn eða gefið upp símanúmer í reikningsstillingunum þínum, getum við veitt sama öryggisstig og tvíþætt staðfesting. Við komumst að því að SMS-kóði sem sendur var á endurheimtarsímanúmer hjálpaði til við að loka 100% af sjálfvirkum vélmennum, 96% af lausum vefveiðum og 76% af markvissum árásum. Og tilkynningar í tæki til að staðfesta viðskipti, öruggari staðgengill fyrir SMS, hjálpaði til við að koma í veg fyrir 100% af sjálfvirkum vélmennum, 99% af fjölda phishing árásum og 90% af markvissum árásum.
Vörn sem byggir bæði á eignarhaldi tækja og þekkingu á ákveðnum staðreyndum hjálpar til við að vinna gegn sjálfvirkum vélmennum, á meðan eignarhaldsvörn tækja kemur í veg fyrir vefveiðar og jafnvel markvissar árásir.
Ef þú ert ekki með símanúmer uppsett á reikningnum þínum gætum við notað veikari öryggisaðferðir byggðar á því sem við vitum um þig, eins og hvar þú skráðir þig síðast inn á reikninginn þinn. Þetta virkar vel gegn vélmennum, en vernd gegn vefveiðum getur farið niður í 10% og það er nánast engin vörn gegn markvissum árásum. Þetta er vegna þess að vefveiðarsíður og árásarmenn geta þvingað þig til að birta allar viðbótarupplýsingar sem Google gæti beðið um staðfestingu.
Í ljósi ávinningsins af slíkri vernd gæti maður spurt hvers vegna við krefjumst þess ekki fyrir hverja innskráningu. Svarið er að það myndi skapa frekari flókið fyrir notendur (sérstaklega fyrir óundirbúna - ca. þýðing.) og myndi auka hættuna á lokun reiknings. Tilraunin leiddi í ljós að 38% notenda höfðu ekki aðgang að símanum sínum þegar þeir skráðu sig inn á reikninginn sinn. Önnur 34% notenda mundu ekki aukanetfangið sitt.
Ef þú hefur misst aðgang að símanum þínum eða getur ekki skráð þig inn geturðu alltaf farið aftur í trausta tækið sem þú skráðir þig inn úr til að fá aðgang að reikningnum þínum.
Skilningur á árásum fyrir hakk fyrir leigu
Þar sem flestar sjálfvirkar varnir hindra flestar vélmenni og vefveiðaárásir verða markvissar árásir skaðlegri. Sem hluti af áframhaldandi viðleitni okkar til að , við erum stöðugt að bera kennsl á nýja glæpahópa sem vinna að reiðhestur sem rukka að meðaltali $750 fyrir að hakka einn reikning. Þessir árásarmenn treysta oft á vefveiðar sem líkjast fjölskyldumeðlimum, samstarfsmönnum, embættismönnum eða jafnvel Google. Ef skotmarkið gefst ekki upp í fyrstu veiðitilrauninni halda síðari árásir áfram í meira en mánuð.
Dæmi um man-in-the-middle phishing árás sem sannreynir réttmæti lykilorðs í rauntíma. Vefveiðasíðan biður síðan fórnarlömb að slá inn SMS auðkenningarkóða til að fá aðgang að reikningi fórnarlambsins.
Við áætlum að aðeins einn af hverjum milljón notendum sé í þessari áhættu. Árásarmenn beinast ekki að handahófi fólki. Þó að rannsóknir sýni að sjálfvirkar varnir okkar geti hjálpað til við að tefja og jafnvel koma í veg fyrir allt að 66% af þeim markvissu árásum sem við höfum rannsakað, mælum við samt með því að áhættunotendur skrái sig hjá okkar . Eins og fram kom við rannsókn okkar, notendur sem nota eingöngu öryggislykla (það er tveggja þrepa auðkenning með því að nota kóða sem sendir eru til notenda - u.þ.b. þýðing), hafa orðið fórnarlömb spjótveiða.
Taktu þér smá tíma til að vernda reikninginn þinn
Þú notar öryggisbelti til að vernda líf og limi þegar þú ferð í bílum. Og með hjálp okkar þú getur tryggt öryggi reikningsins þíns.
Rannsóknir okkar sýna að eitt það auðveldasta sem þú getur gert til að vernda Google reikninginn þinn er að setja upp símanúmer. Fyrir notendur sem eru í mikilli áhættu eins og blaðamenn, aðgerðarsinna í samfélaginu, leiðtoga fyrirtækja og pólitíska herferðarteymi, forritið okkar mun hjálpa til við að tryggja hæsta öryggisstig. Þú getur líka verndað reikninga þína sem ekki eru frá Google fyrir aðgangsorði með því að setja upp viðbótina .
Það er athyglisvert að Google fylgir ekki þeim ráðum sem það gefur notendum sínum. fyrir tvíþætta auðkenningu fyrir meira en 85 starfsmenn þess. Að sögn fulltrúa fyrirtækisins hefur ekki einn einasti reikningsþjófnaður verið skráður frá því byrjað var að nota vélbúnaðartákn. Berðu saman við tölurnar sem birtar eru í þessari skýrslu. Þannig er ljóst að notkun vélbúnaðar tákn fyrir tvíþætta auðkenningu eina áreiðanlega leiðin til að vernda bæði reikninga og upplýsingar (og í sumum tilfellum líka peningar).
Til að vernda Google reikninga notum við tákn sem eru búin til samkvæmt FIDO U2F staðlinum, til dæmis . Og fyrir tvíþætta auðkenningu í Windows, Linux og MacOS stýrikerfum, .
(Athugasemd þýðanda)
Heimild: www.habr.com