Google нийтлэв "Дансны үндсэн эрүүл ахуй нь дансны хулгайгаас урьдчилан сэргийлэхэд хэр үр дүнтэй вэ?" Гэмт этгээдүүд дансаа хулгайлахаас урьдчилан сэргийлэхийн тулд данс эзэмшигч юу хийж болох талаар. Энэхүү судалгааны орчуулгыг та бүхэнд толилуулж байна.
Google-ийн өөрөө ашигладаг хамгийн үр дүнтэй аргыг тайланд оруулаагүй нь үнэн. Энэ аргын талаар би өөрөө эцэст нь бичих хэрэгтэй болсон.
Бид өдөр бүр хэрэглэгчдийг хэдэн зуун мянган данс хакердах оролдлогоос хамгаалдаг. Гуравдагч этгээдийн нууц үг задлах системд нэвтрэх боломжтой автомат роботуудаас ирдэг боловч фишинг болон зорилтот халдлага бас байдаг. Өмнө нь бид яаж гэдгийг хэлж байсан , утасны дугаар нэмэх зэрэг нь таныг аюулгүй байлгахад тусалж болох ч одоо бид үүнийг практик дээр батлахыг хүсч байна.
Фишинг халдлага нь хакердах үйл явцад хэрэг болохуйц мэдээллийг халдагчид сайн дураар өгөхийн тулд хэрэглэгчийг хууран мэхлэх оролдлого юм. Жишээлбэл, хууль ёсны програмын интерфейсийг хуулбарлах замаар.
Автомат робот ашиглан халдлага нь тодорхой хэрэглэгчдэд зориулагдаагүй их хэмжээний хакердах оролдлого юм. Энэ нь ихэвчлэн олон нийтэд нээлттэй програм хангамжийг ашиглан хийгддэг бөгөөд үүнийг сургалтанд хамрагдаагүй "жигнэгчид" ч ашиглаж болно. Халдагчид тодорхой хэрэглэгчдийн шинж чанарын талаар юу ч мэддэггүй - тэд зүгээр л програмыг ажиллуулж, эргэн тойрон дахь шинжлэх ухааны хамгаалалт муутай бичлэгүүдийг "барьж авдаг".
Зорилтот халдлага нь тодорхой дансуудыг хакердах явдал бөгөөд үүнд данс тус бүр болон түүний эзэмшигчийн талаар нэмэлт мэдээлэл цуглуулах, траффикийг таслан зогсоох, дүн шинжилгээ хийх оролдлого, түүнчлэн илүү төвөгтэй хакердах хэрэгслийг ашиглах боломжтой.
(Орчуулагчийн тэмдэглэл)
Бид Нью-Йоркийн их сургууль болон Калифорнийн их сургуулийн судлаачидтай хамтран дансны үндсэн эрүүл ахуй нь данс хулгайлахаас урьдчилан сэргийлэхэд хэр үр дүнтэй болохыг олж мэдэв.
тухай жилийн судалгаа и гэж нэрлэдэг мэргэжилтнүүд, бодлого боловсруулагчид, хэрэглэгчдийн уулзалтын үеэр лхагва гарагт танилцуулсан .
Бидний судалгаагаар Google бүртгэлдээ утасны дугаар нэмснээр автоматжуулсан ботын халдлагыг 100%, бөөнөөр үйлдэгдсэн фишинг халдлагыг 99%, зорилтот халдлагыг 66% хааж болно.
Бүртгэл хулгайлахаас хамгаалах Google-н автомат хамгаалалт
Бид бүх хэрэглэгчдээ бүртгэл хакердахаас илүү сайн хамгаалахын тулд автомат идэвхтэй хамгаалалтыг хэрэгжүүлдэг. Энэ нь дараах байдалтай байна: Хэрэв бид сэжигтэй нэвтрэх оролдлого (жишээ нь, шинэ байршил эсвэл төхөөрөмжөөс) илрүүлбэл энэ нь таныг мөн гэдгийг батлах нэмэлт нотлох баримтыг хүсэх болно. Энэ баталгаажуулалт нь таныг итгэмжлэгдсэн утасны дугаарт хандах эрхтэй эсэхийг шалгах эсвэл зөвхөн таны зөв хариултыг мэдэх асуултад хариулж болно.
Хэрэв та утсандаа нэвтэрсэн эсвэл бүртгэлийн тохиргоондоо утасны дугаар оруулсан бол бид хоёр шаттай баталгаажуулалттай ижил түвшний аюулгүй байдлыг хангах боломжтой. Сэргээх утасны дугаар руу илгээсэн SMS код нь автомат роботуудыг 100%, их хэмжээний фишинг халдлагыг 96%, зорилтот халдлагыг 76% блоклоход тусалсан болохыг бид олж мэдсэн. Гүйлгээг баталгаажуулах төхөөрөмж нь SMS-г илүү найдвартай орлуулах нь автомат роботуудаас 100%, олон нийтийн фишинг халдлагаас 99%, зорилтот халдлагаас 90% урьдчилан сэргийлэхэд тусалсан.
Төхөөрөмжийн эзэмшил болон тодорхой баримтуудын мэдлэгт суурилсан хамгаалалт нь автомат роботуудыг эсэргүүцэхэд тусалдаг бол төхөөрөмжийн өмчлөлийн хамгаалалт нь фишинг болон зорилтот халдлагаас урьдчилан сэргийлэхэд тусалдаг.
Хэрэв таны дансанд утасны дугаар байхгүй бол бид таны бүртгэлд хамгийн сүүлд хаанаас нэвтэрсэн гэх мэт таны талаар мэддэг зүйлд тулгуурлан хамгаалалтын сул арга техникийг ашиглаж болзошгүй. Энэ нь роботуудын эсрэг сайн ажилладаг боловч фишингээс хамгаалах түвшин 10% хүртэл буурч болох ба зорилтот халдлагаас хамгаалах хамгаалалт бараг байхгүй. Учир нь фишинг хуудсууд болон зорилтот халдагчид таныг Google-ээс баталгаажуулахыг хүссэн нэмэлт мэдээллийг илчлэхийг албаддаг.
Ийм хамгаалалтын давуу талыг харгалзан бид яагаад нэвтрэх бүрт үүнийг шаарддаггүй гэж асууж магадгүй юм. Хариулт нь энэ нь хэрэглэгчдэд нэмэлт төвөгтэй байдлыг бий болгоно гэсэн үг юм (ялангуяа бэлтгэлгүй хүмүүст - ойролцоогоор. орчуулга.) бөгөөд дансыг түдгэлзүүлэх эрсдэлийг нэмэгдүүлнэ. Туршилтын үр дүнд хэрэглэгчдийн 38% нь данс руугаа нэвтрэх үед утсаа ашиглах боломжгүй байсан нь тогтоогджээ. Хэрэглэгчдийн 34% нь хоёрдогч имэйл хаягаа санахгүй байна.
Хэрэв та утсандаа хандах эрхээ алдсан эсвэл нэвтэрч чадахгүй байгаа бол өмнө нь нэвтэрсэн итгэмжлэгдсэн төхөөрөмж рүүгээ буцаж, бүртгэлдээ хандах боломжтой.
Хөлсөөр хакердах халдлагыг ойлгох
Ихэнх автомат хамгаалалтууд ихэнх роботууд болон фишинг халдлагуудыг хаадаг бол зорилтот халдлага нь илүү хор хөнөөлтэй болдог. Бидний хийж буй хүчин чармайлтын нэг хэсэг болгон , бид нэг бүртгэлийг хакердахад дунджаар 750 доллар авдаг шинэ гэмт хэргийн хакердах бүлгүүдийг байнга илрүүлж байна. Эдгээр халдагчид ихэвчлэн гэр бүлийн гишүүд, хамтран ажиллагсад, төрийн албан хаагчид, тэр байтугай Google-ийн дүрийг харуулсан фишинг имэйлд найддаг. Хэрэв зорилтот этгээд эхний фишинг хийх оролдлогыг орхихгүй бол дараагийн халдлага нь сар гаруйн хугацаанд үргэлжилдэг.
Бодит хугацаанд нууц үг зөв эсэхийг шалгадаг хүний дундах фишинг халдлагын жишээ. Дараа нь фишинг хуудас нь хохирогчдын данс руу нэвтрэхийн тулд SMS баталгаажуулах кодыг оруулахыг шаарддаг.
Бидний тооцоолсноор сая хэрэглэгч тутмын нэг нь л ийм өндөр эрсдэлтэй байдаг. Халдагчид санамсаргүй хүмүүсийг онилдоггүй. Судалгаанаас харахад манай автомат хамгаалалт нь бидний судалсан зорилтот халдлагын 66 хүртэлх хувийг хойшлуулж, бүр урьдчилан сэргийлэхэд тусалдаг ч өндөр эрсдэлтэй хэрэглэгчдийг манай байгууллагад бүртгүүлэхийг зөвлөж байна. . Бидний мөрдөн байцаалтын явцад ажигласнаар аюулгүй байдлын түлхүүрийг зөвхөн ашигладаг хэрэглэгчид (өөрөөр хэлбэл, хэрэглэгчдэд илгээсэн кодыг ашиглан хоёр шатлалт баталгаажуулалт - ойролцоогоор. орчуулга), жад фишингийн хохирогч болсон.
Бүртгэлээ хамгаалахын тулд бага зэрэг цаг гарга
Машинаар зорчихдоо хүний амь нас, гар хөлийг хамгаалахын тулд хамгаалалтын бүс хэрэглэдэг. Мөн бидний тусламжтайгаар Та өөрийн дансны аюулгүй байдлыг хангах боломжтой.
Бидний судалгаагаар Google бүртгэлээ хамгаалахын тулд хийж болох хамгийн хялбар зүйлсийн нэг бол утасны дугаар тохируулах явдал юм. Сэтгүүлчид, олон нийтийн идэвхтэн, бизнесийн удирдагчид, улс төрийн кампанит ажлын баг зэрэг эрсдэл өндөртэй хэрэглэгчдэд зориулсан манай хөтөлбөр аюулгүй байдлыг дээд зэргээр хангахад туслах болно. Та мөн өргөтгөлийг суулгаснаар Google-н бус акаунтуудыг нууц үгийн халдлагаас хамгаалах боломжтой .
Google хэрэглэгчиддээ өгсөн зөвлөгөөг дагадаггүй нь сонирхолтой юм. 85 гаруй ажилчдынхаа хоёр хүчин зүйлийн баталгаажуулалтад зориулагдсан. Корпорацийн төлөөлөгчдийн хэлснээр, техник хангамжийн жетон ашиглаж эхэлснээс хойш нэг ч данс хулгайлсан тохиолдол бүртгэгдээгүй байна. Энэ тайланд үзүүлсэн тоо баримттай харьцуулна уу. Тиймээс техник хангамж ашиглах нь тодорхой байна жетон Хоёр хүчин зүйлийн баталгаажуулалтын хувьд хамгаалах цорын ганц найдвартай арга данс, мэдээлэл (зарим тохиолдолд мөнгө) хоёулаа.
Жишээлбэл, Google акаунтуудыг хамгаалахын тулд бид FIDO U2F стандартын дагуу үүсгэсэн жетонуудыг ашигладаг . Мөн Windows, Linux болон MacOS үйлдлийн системүүдийн хоёр хүчин зүйлийн баталгаажуулалтын хувьд, .
(Орчуулагчийн тэмдэглэл)
Эх сурвалж: www.habr.com