Google жариялады Есептік жазбаның иесі оны қылмыскерлер ұрлауды болдырмау үшін не істей алатыны туралы «Тіркелгіні ұрлаудың алдын алудағы негізгі шот гигиенасы қаншалықты тиімді». Назарларыңызға осы зерттеудің аудармасын ұсынамыз.
Рас, Google-дың өзі қолданатын ең тиімді әдіс есепте қамтылмаған. Бұл әдіс туралы соңында өзім жазуға тура келді.
Күн сайын біз пайдаланушыларды жүздеген мың есептік жазбаны бұзу әрекеттерінен қорғаймыз. үшінші тараптың құпия сөзді бұзу жүйелеріне кіру мүмкіндігі бар автоматтандырылған боттардан келеді, бірақ фишинг және мақсатты шабуылдар да бар. Бұрын біз қалай екенін айтқанбыз , мысалы, телефон нөмірін қосу қауіпсіздікті сақтауға көмектеседі, бірақ қазір біз оны іс жүзінде дәлелдегіміз келеді.
Фишингтік шабуыл – бұзушыға бұзу процесінде пайдалы болатын ақпаратты өз еркімен беруге пайдаланушыны алдау әрекеті. Мысалы, заңды қолданбаның интерфейсін көшіру арқылы.
Автоматтандырылған боттарды пайдаланатын шабуылдар белгілі бір пайдаланушыларға бағытталған емес, жаппай бұзу әрекеттері болып табылады. Әдетте жалпыға қолжетімді бағдарламалық жасақтаманы пайдалану арқылы жүзеге асырылады және оны тіпті оқытылмаған «крекерлер» де пайдалана алады. Шабуылшылар нақты пайдаланушылардың сипаттамалары туралы ештеңе білмейді - олар жай ғана бағдарламаны іске қосып, айналадағы барлық нашар қорғалған ғылыми жазбаларды «ұстап алады».
Мақсатты шабуылдар - бұл әрбір тіркелгі және оның иесі туралы қосымша ақпарат жиналатын, трафикті ұстау және талдау әрекеттері, сондай-ақ неғұрлым күрделі бұзу құралдарын пайдалану мүмкін болатын нақты тіркелгілерді бұзу.
(Аудармашының ескертуі)
Біз Нью-Йорк университетінің және Калифорния университетінің зерттеушілерімен бірлесе отырып, есептік жазбаның ұрлануының алдын алуда есептік жазбаның негізгі гигиенасы қаншалықты тиімді екенін анықтадық.
туралы жыл сайынғы зерттеу и деп аталатын сарапшылар, саясаткерлер мен пайдаланушылар жиналысында сәрсенбіде ұсынылды .
Біздің зерттеуіміз көрсеткендей, Google есептік жазбаңызға телефон нөмірін қосу арқылы автоматтандырылған бот-шабуылдардың 100%, жаппай фишингтік шабуылдардың 99% және біздің тергеуіміздегі мақсатты шабуылдардың 66% бұғаттауы мүмкін.
Есептік жазбаны ұрлаудан автоматты проактивті Google қорғауы
Біз барлық пайдаланушыларымызды есептік жазбаны бұзудан жақсырақ қорғау үшін автоматты проактивті қорғауды енгіземіз. Ол келесідей жұмыс істейді: егер күдікті кіру әрекетін анықтасақ (мысалы, жаңа орыннан немесе құрылғыдан), біз бұл шынымен сіз екеніңізді растайтын қосымша дәлелді сұраймыз. Бұл растау сенімді телефон нөміріне қол жеткізе алатыныңызды растау немесе дұрыс жауабын өзіңіз ғана білетін сұраққа жауап беру болуы мүмкін.
Телефоныңызға кірген болсаңыз немесе есептік жазба параметрлерінде телефон нөмірін берген болсаңыз, біз екі сатылы растау сияқты қауіпсіздік деңгейін қамтамасыз ете аламыз. Қалпына келтіру телефон нөміріне жіберілген SMS коды автоматтандырылған боттардың 100%, жаппай фишингтік шабуылдардың 96% және мақсатты шабуылдардың 76% бұғаттауға көмектескенін анықтадық. Құрылғы транзакцияны растауға шақырады, SMS-ті қауіпсіз ауыстыру автоматтандырылған боттардың 100%, жаппай фишингтік шабуылдардың 99% және мақсатты шабуылдардың 90% алдын алуға көмектесті.
Құрылғыны иеленуге және белгілі бір фактілерді білуге негізделген қорғау автоматтандырылған боттарға қарсы тұруға көмектеседі, ал құрылғыны иеленуді қорғау фишингтің және тіпті мақсатты шабуылдардың алдын алуға көмектеседі.
Тіркелгіңізде телефон нөміріңіз орнатылмаған болса, біз сіз туралы білетін деректерге, мысалы, тіркелгіңізге соңғы рет қай жерде кіргеніңізге негізделген әлсіз қауіпсіздік әдістерін қолдануымыз мүмкін. Бұл боттарға қарсы жақсы жұмыс істейді, бірақ фишингтен қорғау деңгейі 10% дейін төмендеуі мүмкін және мақсатты шабуылдардан іс жүзінде ешқандай қорғаныс жоқ. Бұл фишингтік беттер мен мақсатты шабуылдаушылар сізді Google тексеруді сұрауы мүмкін кез келген қосымша ақпаратты ашуға мәжбүр етуі мүмкін.
Мұндай қорғаудың артықшылықтарын ескере отырып, неге біз оны әрбір логин үшін талап етпейміз деген сұрақ туындауы мүмкін. Жауап - бұл пайдаланушылар үшін қосымша күрделілік тудырады (әсіресе дайын еместер үшін - шамамен. аударма.) және есептік жазбаны тоқтата тұру қаупін арттырады. Эксперимент пайдаланушылардың 38%-ы аккаунтына кіру кезінде телефонына қол жеткізе алмайтынын анықтады. Пайдаланушылардың тағы 34%-ы қосымша электрондық пошта мекенжайларын есіне түсіре алмады.
Телефоныңызға кіру мүмкіндігін жоғалтып алсаңыз немесе жүйеге кіре алмасаңыз, есептік жазбаңызға кіру үшін әрқашан бұрын кірген сенімді құрылғыға оралуға болады.
Жалдау үшін хакерлік шабуылдарды түсіну
Көптеген автоматтандырылған қорғаулар көптеген боттарды және фишингтік шабуылдарды блоктайтын жерде, мақсатты шабуылдар көбірек зиян келтіреді. Біздің үздіксіз күш-жігеріміздің бөлігі ретінде , біз үнемі бір есептік жазбаны бұзу үшін орташа есеппен 750 доллар алатын жаңа қылмыстық бұзақылық топтарын анықтаймыз. Бұл шабуылдаушылар көбінесе отбасы мүшелерін, әріптестерін, мемлекеттік қызметкерлерді немесе тіпті Google-ды еліктейтін фишингтік электрондық пошталарға сенеді. Егер мақсат бірінші фишинг әрекетінен бас тартпаса, кейінгі шабуылдар бір айдан астам уақытқа созылады.
Нақты уақытта құпия сөздің дұрыстығын тексеретін ортадағы адам фишингтік шабуылының мысалы. Содан кейін фишинг беті құрбандардан жәбірленушінің есептік жазбасына кіру үшін SMS аутентификация кодтарын енгізуді ұсынады.
Біздің бағалауымызша, миллион пайдаланушының біреуі ғана осы жоғары тәуекелге ұшырайды. Шабуылшылар кездейсоқ адамдарды нысанаға алмайды. Зерттеулер біздің автоматтандырылған қорғаныстарымыз біз зерттеген мақсатты шабуылдардың 66%-ға дейінін кешіктіруге және тіпті алдын алуға көмектесетінін көрсеткенімен, біз әлі де тәуекелі жоғары пайдаланушыларға біздің сайтта тіркелуді ұсынамыз. . Тергеу барысында байқалғандай, тек қауіпсіздік кілттерін пайдаланатын пайдаланушылар (яғни пайдаланушыларға жіберілген кодтар арқылы екі сатылы аутентификация – шамамен. аударма), найза фишингінің құрбаны болды.
Есептік жазбаңызды қорғауға аз уақыт бөліңіз
Автокөлікпен саяхаттау кезінде өмір мен аяқ-қолды қорғау үшін қауіпсіздік белдіктерін пайдаланасыз. Және біздің көмегімен тіркелгіңіздің қауіпсіздігін қамтамасыз ете аласыз.
Біздің зерттеу Google есептік жазбаңызды қорғау үшін жасай алатын ең оңай әрекеттердің бірі телефон нөмірін орнату екенін көрсетеді. Журналистер, қоғам белсенділері, бизнес көшбасшылары және саяси науқан топтары сияқты тәуекелі жоғары пайдаланушылар үшін біздің бағдарлама қауіпсіздіктің ең жоғары деңгейін қамтамасыз етуге көмектеседі. Сондай-ақ кеңейтімді орнату арқылы Google емес есептік жазбаларыңызды құпия сөзді бұзудан қорғауға болады .
Бір қызығы, Google өз пайдаланушыларына берген кеңестерді орындамайды. оның 85 000-нан астам қызметкері үшін екі факторлы аутентификация үшін. Корпорация өкілдерінің айтуынша, аппараттық токендер қолданыла бастағаннан бері бірде-бір шот ұрлығы тіркелмеген. Осы есепте келтірілген сандармен салыстырыңыз. Осылайша, аппараттық құралдарды пайдалану анық жетондар екі факторлы аутентификация үшін қорғаудың жалғыз сенімді жолы шоттар мен ақпарат (кейбір жағдайларда ақша да).
Google тіркелгілерін қорғау үшін, мысалы, FIDO U2F стандартына сәйкес жасалған таңбалауыштар пайдаланылады . Ал Windows, Linux және MacOS операциялық жүйелерінде екі факторлы аутентификация үшін, .
(Аудармашының ескертуі)
Ақпарат көзі: www.habr.com