Google telah menerbitkan "Sejauh manakah kebersihan akaun asas dalam mencegah kecurian akaun" tentang perkara yang boleh dilakukan oleh pemilik akaun untuk mengelakkannya daripada dicuri oleh penjenayah. Kami menyampaikan kepada perhatian anda terjemahan kajian ini.
Benar, kaedah paling berkesan, yang digunakan oleh Google sendiri, tidak disertakan dalam laporan itu. Saya terpaksa menulis tentang kaedah ini sendiri pada akhirnya.
Setiap hari kami melindungi pengguna daripada ratusan ribu percubaan penggodaman akaun. datang daripada bot automatik dengan akses kepada sistem pemecahan kata laluan pihak ketiga, tetapi pancingan data dan serangan disasarkan turut hadir. Sebelum ini kami memberitahu bagaimana , seperti menambah nombor telefon, boleh membantu anda kekal selamat, tetapi kini kami ingin membuktikannya dalam amalan.
Serangan pancingan data ialah percubaan untuk menipu pengguna supaya memberikan maklumat penyerang secara sukarela yang berguna dalam proses penggodaman. Contohnya, dengan menyalin antara muka aplikasi undang-undang.
Serangan menggunakan bot automatik adalah percubaan penggodaman besar-besaran yang tidak ditujukan kepada pengguna tertentu. Biasanya dijalankan menggunakan perisian yang tersedia untuk umum dan boleh digunakan walaupun oleh "keropok" yang tidak terlatih. Penyerang tidak tahu apa-apa tentang ciri-ciri pengguna tertentu - mereka hanya melancarkan program dan "menangkap" semua rekod saintifik yang tidak dilindungi dengan baik.
Serangan yang disasarkan ialah penggodaman akaun tertentu, di mana maklumat tambahan dikumpulkan tentang setiap akaun dan pemiliknya, percubaan untuk memintas dan menganalisis trafik, serta penggunaan alat penggodaman yang lebih kompleks adalah mungkin.
(Nota penterjemah)
Kami bekerjasama dengan penyelidik dari Universiti New York dan Universiti California untuk mengetahui keberkesanan asas kebersihan akaun dalam mencegah rampasan akaun.
Kajian tahunan tentang ΠΈ telah dibentangkan pada hari Rabu pada mesyuarat pakar, penggubal dasar dan pengguna yang dipanggil .
Penyelidikan kami menunjukkan bahawa hanya menambahkan nombor telefon pada akaun Google anda boleh menyekat sehingga 100% serangan bot automatik, 99% daripada serangan pancingan data pukal dan 66% serangan disasarkan dalam penyiasatan kami.
Perlindungan Google proaktif automatik terhadap rampasan akaun
Kami melaksanakan perlindungan proaktif automatik untuk melindungi semua pengguna kami dengan lebih baik daripada penggodaman akaun. Begini cara ia berfungsi: Jika kami mengesan percubaan log masuk yang mencurigakan (contohnya, dari lokasi atau peranti baharu), kami akan meminta bukti tambahan bahawa itu benar-benar anda. Pengesahan ini mungkin mengesahkan bahawa anda mempunyai akses kepada nombor telefon yang dipercayai atau menjawab soalan yang hanya anda tahu jawapan yang betul.
Jika anda log masuk ke telefon anda atau memberikan nombor telefon dalam tetapan akaun anda, kami boleh menyediakan tahap keselamatan yang sama seperti pengesahan dua langkah. Kami mendapati bahawa kod SMS yang dihantar ke nombor telefon pemulihan membantu menyekat 100% bot automatik, 96% serangan pancingan data pukal dan 76% serangan yang disasarkan. Dan peranti menggesa untuk mengesahkan transaksi, penggantian SMS yang lebih selamat, membantu menghalang 100% bot automatik, 99% serangan pancingan data besar-besaran dan 90% serangan yang disasarkan.
Perlindungan berdasarkan kedua-dua pemilikan peranti dan pengetahuan tentang fakta tertentu membantu melawan bot automatik, manakala perlindungan pemilikan peranti membantu mencegah pancingan data dan juga serangan yang disasarkan.
Jika anda tidak mempunyai nombor telefon yang disediakan dalam akaun anda, kami mungkin menggunakan teknik keselamatan yang lebih lemah berdasarkan perkara yang kami ketahui tentang anda, seperti tempat terakhir anda melog masuk ke akaun anda. Ini berfungsi dengan baik terhadap bot, tetapi tahap perlindungan terhadap pancingan data boleh menurun kepada 10% dan hampir tiada perlindungan terhadap serangan yang disasarkan. Ini kerana halaman pancingan data dan penyerang yang disasarkan boleh memaksa anda untuk mendedahkan sebarang maklumat tambahan yang mungkin diminta oleh Google untuk pengesahan.
Memandangkan faedah perlindungan sedemikian, seseorang mungkin bertanya mengapa kami tidak memerlukannya untuk setiap log masuk. Jawapannya ialah ia akan mewujudkan kerumitan tambahan untuk pengguna (terutamanya untuk yang tidak bersedia - lebih kurang. terjemahan.) dan akan meningkatkan risiko penggantungan akaun. Percubaan mendapati bahawa 38% pengguna tidak mempunyai akses kepada telefon mereka apabila log masuk ke akaun mereka. 34% lagi pengguna tidak dapat mengingati alamat e-mel kedua mereka.
Jika anda telah kehilangan akses kepada telefon anda atau tidak boleh log masuk, anda sentiasa boleh kembali ke peranti dipercayai yang anda gunakan untuk log masuk sebelum ini untuk mengakses akaun anda.
Memahami serangan hack-for-hire
Apabila kebanyakan perlindungan automatik menyekat kebanyakan bot dan serangan pancingan data, serangan yang disasarkan menjadi lebih merosakkan. Sebagai sebahagian daripada usaha berterusan kami untuk , kami sentiasa mengenal pasti kumpulan penggodam untuk disewa penjenayah baharu yang mengenakan bayaran purata $750 untuk menggodam satu akaun. Penyerang ini sering bergantung pada e-mel pancingan data yang menyamar sebagai ahli keluarga, rakan sekerja, pegawai kerajaan, malah Google. Jika sasaran tidak berputus asa pada percubaan pancingan data pertama, serangan seterusnya berterusan selama lebih daripada sebulan.
Contoh serangan pancingan data lelaki di tengah yang mengesahkan ketepatan kata laluan dalam masa nyata. Halaman pancingan data kemudiannya menggesa mangsa memasukkan kod pengesahan SMS untuk mengakses akaun mangsa.
Kami menganggarkan bahawa hanya satu dalam sejuta pengguna berisiko tinggi ini. Penyerang tidak menyasarkan orang rawak. Walaupun penyelidikan menunjukkan bahawa perlindungan automatik kami boleh membantu menangguhkan malah menghalang sehingga 66% daripada serangan sasaran yang telah kami pelajari, kami masih mengesyorkan agar pengguna berisiko tinggi mendaftar dengan kami . Seperti yang diperhatikan semasa penyiasatan kami, pengguna yang secara eksklusif menggunakan kunci keselamatan (iaitu, pengesahan dua langkah menggunakan kod yang dihantar kepada pengguna - lebih kurang. terjemahan), telah menjadi mangsa pancingan data lembing.
Luangkan sedikit masa untuk melindungi akaun anda
Anda menggunakan tali pinggang keledar untuk melindungi nyawa dan anggota badan semasa dalam perjalanan di dalam kereta. Dan dengan bantuan kami anda boleh memastikan keselamatan akaun anda.
Penyelidikan kami menunjukkan bahawa salah satu perkara paling mudah yang boleh anda lakukan untuk melindungi Akaun Google anda ialah menyediakan nombor telefon. Untuk pengguna berisiko tinggi seperti wartawan, aktivis komuniti, pemimpin perniagaan dan pasukan kempen politik, program kami akan membantu memastikan tahap keselamatan tertinggi. Anda juga boleh melindungi akaun bukan Google anda daripada peretasan kata laluan dengan memasang sambungan .
Menariknya Google tidak mengikut nasihat yang diberikan kepada penggunanya. untuk pengesahan dua faktor untuk lebih daripada 85 pekerjanya. Menurut wakil perbadanan itu, sejak mula menggunakan token perkakasan, tiada satu pun kecurian akaun telah direkodkan. Bandingkan dengan angka yang dibentangkan dalam laporan ini. Oleh itu adalah jelas bahawa penggunaan perkakasan token untuk pengesahan dua faktor satu-satunya cara yang boleh dipercayai untuk melindungi kedua-dua akaun dan maklumat (dan dalam beberapa kes juga wang).
Untuk melindungi akaun Google, token yang dibuat mengikut piawaian FIDO U2F digunakan, sebagai contoh . Dan untuk pengesahan dua faktor dalam sistem pengendalian Windows, Linux dan MacOS, .
(Nota penterjemah)
Sumber: www.habr.com