Google ha pubblicato "Quanto è efficace l'igiene di base dell'account nel prevenire il furto dell'account" su cosa può fare il proprietario di un account per evitare che venga rubato dai criminali. Presentiamo alla vostra attenzione una traduzione di questo studio.
È vero, il metodo più efficace, quello utilizzato da Google stessa, non è stato incluso nel rapporto. Alla fine ho dovuto scrivere io stesso su questo metodo.
Ogni giorno proteggiamo gli utenti da centinaia di migliaia di tentativi di hacking degli account. proviene da bot automatizzati con accesso a sistemi di cracking delle password di terze parti, ma sono presenti anche attacchi di phishing e mirati. In precedenza abbiamo detto come , come l'aggiunta di un numero di telefono, può aiutarti a rimanere al sicuro, ma ora vogliamo dimostrarlo nella pratica.
Un attacco di phishing è un tentativo di indurre con l'inganno un utente a fornire volontariamente informazioni utili nel processo di hacking. Ad esempio, copiando l'interfaccia di un'applicazione legale.
Gli attacchi che utilizzano bot automatizzati sono tentativi di hacking massicci non mirati a utenti specifici. Di solito viene eseguito utilizzando software disponibile al pubblico e può essere utilizzato anche da "cracker" non addestrati. Gli aggressori non sanno nulla delle caratteristiche di specifici utenti: avviano semplicemente il programma e "catturano" tutti i documenti scientifici scarsamente protetti in giro.
Gli attacchi mirati sono l'hacking di account specifici, in cui vengono raccolte informazioni aggiuntive su ciascun account e sul suo proprietario, sono possibili tentativi di intercettare e analizzare il traffico, nonché l'uso di strumenti di hacking più complessi.
(Nota del traduttore)
Abbiamo collaborato con ricercatori della New York University e dell'Università della California per scoprire quanto sia efficace l'igiene di base dell'account nel prevenire il dirottamento degli account.
Studio annuale su и è stato presentato mercoledì in una riunione di esperti, politici e utenti convocata .
La nostra ricerca mostra che la semplice aggiunta di un numero di telefono al tuo Account Google può bloccare fino al 100% degli attacchi bot automatizzati, il 99% degli attacchi di phishing in blocco e il 66% degli attacchi mirati nella nostra indagine.
Protezione proattiva automatica di Google contro il furto dell'account
Implementiamo una protezione proattiva automatica per proteggere meglio tutti i nostri utenti dall'hacking degli account. Ecco come funziona: se rileviamo un tentativo di accesso sospetto (ad esempio, da una nuova posizione o dispositivo), chiederemo ulteriori prove della tua identità. Questa conferma potrebbe verificare che tu abbia accesso a un numero di telefono attendibile o rispondere a una domanda di cui solo tu conosci la risposta corretta.
Se hai effettuato l'accesso al tuo telefono o hai fornito un numero di telefono nelle impostazioni del tuo account, possiamo fornire lo stesso livello di sicurezza della verifica in due passaggi. Abbiamo scoperto che un codice SMS inviato a un numero di telefono di recupero ha contribuito a bloccare il 100% dei bot automatizzati, il 96% degli attacchi di phishing in blocco e il 76% degli attacchi mirati. Inoltre, i comandi del dispositivo per confermare una transazione, un sostituto più sicuro degli SMS, hanno contribuito a prevenire il 100% dei bot automatizzati, il 99% degli attacchi di phishing di massa e il 90% degli attacchi mirati.
La protezione basata sia sulla proprietà del dispositivo che sulla conoscenza di determinati fatti aiuta a contrastare i bot automatizzati, mentre la protezione della proprietà del dispositivo aiuta a prevenire il phishing e persino gli attacchi mirati.
Se non hai impostato un numero di telefono nel tuo account, potremmo utilizzare tecniche di sicurezza più deboli in base a ciò che sappiamo di te, ad esempio dove hai effettuato l'ultimo accesso al tuo account. Funziona bene contro i bot, ma il livello di protezione contro il phishing può scendere fino al 10% e non esiste praticamente alcuna protezione contro gli attacchi mirati. Questo perché le pagine di phishing e gli aggressori mirati possono costringerti a rivelare qualsiasi informazione aggiuntiva che Google potrebbe richiedere per la verifica.
Considerati i vantaggi di tale protezione, ci si potrebbe chiedere perché non la richiediamo per ogni accesso. La risposta è che creerebbe ulteriore complessità per gli utenti (soprattutto per gli impreparati - ca. traduzione.) e aumenterebbe il rischio di sospensione dell'account. L'esperimento ha rilevato che il 38% degli utenti non ha avuto accesso al proprio telefono quando accedeva al proprio account. Un altro 34% degli utenti non ricordava il proprio indirizzo email secondario.
Se hai perso l'accesso al tuo telefono o non riesci ad accedere, puoi sempre tornare al dispositivo attendibile da cui hai effettuato l'accesso in precedenza per accedere al tuo account.
Comprendere gli attacchi hacker a pagamento
Laddove la maggior parte delle difese automatizzate blocca la maggior parte dei bot e degli attacchi di phishing, gli attacchi mirati diventano più dannosi. Come parte dei nostri continui sforzi per , identifichiamo costantemente nuovi gruppi criminali di hacking su commissione che addebitano in media 750 dollari per hackerare un account. Questi aggressori spesso si affidano a e-mail di phishing che si spacciano per familiari, colleghi, funzionari governativi o persino per Google. Se la vittima non si arrende al primo tentativo di phishing, gli attacchi successivi continuano per più di un mese.
Un esempio di attacco phishing man-in-the-middle che verifica in tempo reale la correttezza di una password. La pagina di phishing richiede quindi alle vittime di inserire i codici di autenticazione via SMS per accedere all'account della vittima.
Stimiamo che solo un utente su un milione sia esposto a questo rischio elevato. Gli aggressori non prendono di mira persone a caso. Sebbene la ricerca dimostri che le nostre protezioni automatizzate possono aiutare a ritardare e persino prevenire fino al 66% degli attacchi mirati che abbiamo studiato, consigliamo comunque agli utenti ad alto rischio di registrarsi sul nostro sito . Come osservato durante la nostra indagine, gli utenti che utilizzano esclusivamente token di sicurezza (ovvero autenticazione in due passaggi utilizzando i codici inviati agli utenti - ca. traduzione), sono diventati vittime di spear phishing.
Prenditi un po' di tempo per proteggere il tuo account
Si utilizzano le cinture di sicurezza per proteggere la vita e l'incolumità fisica durante i viaggi in auto. E con l'aiuto del ns puoi garantire la sicurezza del tuo account.
La nostra ricerca mostra che una delle cose più semplici che puoi fare per proteggere il tuo Account Google è impostare un numero di telefono. Per utenti ad alto rischio come giornalisti, attivisti della comunità, leader aziendali e team di campagne politiche, il nostro programma contribuirà a garantire il massimo livello di sicurezza. Puoi anche proteggere i tuoi account non Google dagli attacchi hacker alle password installando l'estensione .
È interessante notare che Google non segue i consigli che dà ai suoi utenti. per l’autenticazione a due fattori per oltre 85 dei suoi dipendenti. Secondo i rappresentanti dell'azienda, dall'inizio dell'utilizzo dei token hardware non è stato registrato alcun furto di account. Confrontare con i dati presentati in questo rapporto. Quindi è chiaro che l'uso dell'hardware gettoni per l'autenticazione a due fattori l'unico modo affidabile per proteggere sia conti che informazioni (e in alcuni casi anche denaro).
Per proteggere gli account Google utilizziamo ad esempio token creati secondo lo standard FIDO U2F . E per l'autenticazione a due fattori nei sistemi operativi Windows, Linux e MacOS, .
(Nota del traduttore)
Fonte: habr.com