Googleが公開した 「アカウントの盗難を防ぐための基本的なアカウントの衛生管理はどの程度効果的ですか」。犯罪者によるアカウントの盗難を防ぐためにアカウント所有者ができることについて説明されています。 この研究の翻訳を紹介します。
確かに、Google 自体が使用している最も効果的な方法はレポートに含まれていませんでした。 この方法については最後に自分で書かなければなりませんでした。
私たちは毎日、何十万ものアカウント ハッキングの試みからユーザーを保護しています。 サードパーティのパスワードクラッキングシステムにアクセスする自動ボットからのものですが、フィッシングや標的型攻撃も存在します。 以前にその方法を説明しました 電話番号を追加するなど、安全を確保するのに役立ちますが、今度はそれを実際に証明したいと思います。
フィッシング攻撃は、ユーザーを騙して、ハッキング プロセスに役立つ情報を攻撃者に自発的に提供させる試みです。 たとえば、合法的なアプリケーションのインターフェイスをコピーすることによって。
自動ボットを使用した攻撃は、特定のユーザーを対象としたものではない大規模なハッキングの試みです。 通常、公開されているソフトウェアを使用して実行され、訓練を受けていない「クラッカー」でも使用できます。 攻撃者は特定のユーザーの特徴について何も知りません。単にプログラムを起動し、保護が不十分な科学記録をすべて「捕捉」します。
標的型攻撃は、特定のアカウントのハッキングであり、各アカウントとその所有者に関する追加情報が収集され、トラフィックを傍受して分析しようとするほか、より複雑なハッキング ツールの使用も可能です。
(訳者注)
私たちはニューヨーク大学とカリフォルニア大学の研究者と協力して、アカウントのハイジャック防止に基本的なアカウントの衛生管理がどれほど効果的であるかを調査しました。
についての年次調査 и 水曜日に開催された専門家、政策立案者、ユーザーの会議で発表された。 .
Google の調査によると、Google アカウントに電話番号を追加するだけで、自動化されたボット攻撃を最大 100%、大量のフィッシング攻撃を最大 99%、標的型攻撃の 66% をブロックできることがわかっています。
アカウントハイジャックに対する自動プロアクティブな Google 保護
すべてのユーザーをアカウント ハッキングからより適切に保護するために、自動プロアクティブ保護を実装しています。 その仕組みは次のとおりです。 不審なログイン試行 (たとえば、新しい場所やデバイスから) を検出した場合、それが本人であることを示す追加の証拠を求めます。 この確認は、信頼できる電話番号にアクセスできることを確認することや、正しい答えを自分だけが知っている質問に答えることなどがあります。
携帯電話にサインインしている場合、またはアカウント設定で電話番号を指定している場合は、100 段階認証と同じレベルのセキュリティを提供できます。 再設定用の電話番号に送信された SMS コードは、自動ボットの 96%、大規模なフィッシング攻撃の 76%、標的型攻撃の 100% をブロックするのに役立つことがわかりました。 また、SMS に代わるより安全なトランザクション確認のデバイス プロンプトは、自動化されたボットを 99%、大規模なフィッシング攻撃を 90%、標的型攻撃の XNUMX% を防ぐのに役立ちました。
デバイスの所有権と特定の事実の知識の両方に基づく保護は、自動ボットに対抗するのに役立ち、デバイスの所有権の保護は、フィッシングやさらには標的型攻撃の防止に役立ちます。
アカウントに電話番号が設定されていない場合、最後にアカウントにログインした場所など、お客様についてわかっている情報に基づいて、より弱いセキュリティ技術を使用する場合があります。 これはボットに対してはうまく機能しますが、フィッシングに対する保護レベルは 10% に低下する可能性があり、標的型攻撃に対する保護は事実上ありません。 これは、フィッシング ページや標的型攻撃者によって、Google が検証を求める追加情報の開示を強制される可能性があるためです。
このような保護の利点を考えると、なぜすべてのログインに保護を必要としないのかと疑問に思う人もいるかもしれません。 答えは、ユーザーにとってさらに複雑になるということです (特に準備ができていない人にとっては、 翻訳.) となり、アカウントが停止されるリスクが高まります。 実験の結果、ユーザーの 38% がアカウントにログインするときに携帯電話にアクセスできなかったことがわかりました。 さらに 34% のユーザーは、自分の予備の電子メール アドレスを思い出せませんでした。
携帯電話にアクセスできなくなった場合、またはサインインできない場合は、いつでも以前にサインインした信頼できるデバイスに戻ってアカウントにアクセスできます。
ハッキング・フォー・ハイヤー攻撃について理解する
ほとんどの自動化された保護はほとんどのボットやフィッシング攻撃をブロックしますが、標的型攻撃の被害はさらに大きくなります。 継続的な取り組みの一環として、 , 私たちは、750 つのアカウントをハッキングするのに平均 XNUMX ドルを請求する、新しい犯罪的ハッキング委託グループを常に特定しています。 これらの攻撃者は、家族、同僚、政府職員、さらには Google になりすましたフィッシングメールを利用することがよくあります。 ターゲットが最初のフィッシング行為を諦めなかった場合、その後の攻撃は XNUMX か月以上続きます。
パスワードの正しさをリアルタイムで検証する中間者フィッシング攻撃の例。 次に、フィッシング ページは、被害者のアカウントにアクセスするために SMS 認証コードを入力するよう被害者に促します。
このような高いリスクにさらされているユーザーは 66 万人に XNUMX 人だけであると推定されています。 攻撃者はランダムな人々をターゲットにしません。 調査によると、当社の自動保護機能は、当社が調査した標的型攻撃の最大 XNUMX% を遅らせ、さらには防ぐことができますが、それでもリスクの高いユーザーには、当社のサービスに登録することをお勧めします。 。 私たちの調査中に観察されたように、セキュリティ キー (つまり、ユーザーに送信されるコードを使用した XNUMX 段階認証です。 翻訳)がスピアフィッシングの被害者となっています。
少し時間をかけてアカウントを保護してください
車に乗るときは、生命と手足を守るためにシートベルトを使用します。 そして私たちの助けを借りて、 アカウントのセキュリティを確保できます。
私たちの調査によると、Google アカウントを保護するためにできる最も簡単な方法の XNUMX つは、電話番号を設定することです。 ジャーナリスト、コミュニティ活動家、ビジネスリーダー、政治運動チームなどのハイリスクユーザー向けのプログラム 最高レベルのセキュリティの確保に役立ちます。 拡張機能をインストールすると、Google 以外のアカウントをパスワード ハッキングから保護することもできます。 .
興味深いのは、Googleがユーザーに与えたアドバイスに従わないことだ。 85 人を超える従業員に 000 要素認証を導入しました。 同社の代表者によると、ハードウェアトークンの利用開始以来、アカウントの盗難は一度も記録されていないという。 このレポートに示されている数値と比較してください。 したがって、ハードウェアの使用は明らかです。 トークン 二要素認証の場合 確実に身を守る唯一の方法 アカウントと情報(場合によってはお金も)の両方。
Google アカウントを保護するために、FIDO U2F 標準に従って作成されたトークンを使用します。たとえば、 。 Windows、Linux、MacOS オペレーティング システムでの XNUMX 要素認証の場合、 .
(訳者注)
出所: habr.com