Google heeft gepubliceerd “Hoe effectief is de basishygiëne van accounts bij het voorkomen van accountdiefstal” over wat een accounteigenaar kan doen om te voorkomen dat deze door criminelen wordt gestolen. Wij presenteren onder uw aandacht een vertaling van dit onderzoek.
Toegegeven, de meest effectieve methode, die door Google zelf wordt gebruikt, was niet in het rapport opgenomen. Ik moest uiteindelijk zelf over deze methode schrijven.
Elke dag beschermen we gebruikers tegen honderdduizenden pogingen om accounts te hacken. komt van geautomatiseerde bots met toegang tot wachtwoordkraaksystemen van derden, maar phishing en gerichte aanvallen zijn ook aanwezig. Eerder vertelden we hoe , zoals het toevoegen van een telefoonnummer, kan u helpen veilig te blijven, maar nu willen we het in de praktijk bewijzen.
Een phishing-aanval is een poging om een gebruiker ertoe te verleiden de aanvaller vrijwillig informatie te geven die nuttig kan zijn bij het hackproces. Bijvoorbeeld door de interface van een juridische applicatie te kopiëren.
Aanvallen met behulp van geautomatiseerde bots zijn grootschalige hackpogingen die niet op specifieke gebruikers zijn gericht. Meestal uitgevoerd met behulp van openbaar beschikbare software en kan zelfs door ongetrainde “krakers” worden gebruikt. Aanvallers weten niets over de kenmerken van specifieke gebruikers - ze lanceren eenvoudigweg het programma en 'vangen' alle slecht beveiligde wetenschappelijke gegevens die er zijn.
Gerichte aanvallen zijn het hacken van specifieke accounts, waarbij aanvullende informatie wordt verzameld over elk account en de eigenaar ervan, pogingen om verkeer te onderscheppen en te analyseren, evenals het gebruik van complexere hacktools zijn mogelijk.
(Noot van de vertaler)
We hebben samengewerkt met onderzoekers van de New York University en de University of California om erachter te komen hoe effectief de basishygiëne van accounts is bij het voorkomen van accountkaping.
Jaarlijks onderzoek over и werd woensdag gepresenteerd tijdens een bijeenkomst van deskundigen, beleidsmakers en gebruikers .
Uit ons onderzoek blijkt dat het simpelweg toevoegen van een telefoonnummer aan uw Google-account tot 100% van de geautomatiseerde botaanvallen, 99% van de bulk-phishing-aanvallen en 66% van de gerichte aanvallen in ons onderzoek kan blokkeren.
Automatische proactieve Google-bescherming tegen accountkaping
We implementeren automatische proactieve bescherming om al onze gebruikers beter te beschermen tegen accounthacking. Zo werkt het: Als we een verdachte inlogpoging detecteren (bijvoorbeeld vanaf een nieuwe locatie of een nieuw apparaat), vragen we om aanvullend bewijs dat u het werkelijk bent. Deze bevestiging kan bestaan uit het verifiëren dat u toegang heeft tot een vertrouwd telefoonnummer, of het beantwoorden van een vraag waarop alleen u het juiste antwoord weet.
Als u bent ingelogd op uw telefoon of een telefoonnummer heeft opgegeven in uw accountinstellingen, kunnen we hetzelfde beveiligingsniveau bieden als tweestapsverificatie. We ontdekten dat een sms-code die naar een hersteltelefoonnummer werd gestuurd, hielp bij het blokkeren van 100% van de geautomatiseerde bots, 96% van de bulk-phishing-aanvallen en 76% van de gerichte aanvallen. En apparaatprompts om een transactie te bevestigen, een veiliger vervanging voor sms, hielpen 100% van de geautomatiseerde bots, 99% van de massale phishing-aanvallen en 90% van de gerichte aanvallen te voorkomen.
Bescherming op basis van zowel apparaateigendom als kennis van bepaalde feiten helpt geautomatiseerde bots tegen te gaan, terwijl bescherming van apparaateigendom phishing en zelfs gerichte aanvallen helpt voorkomen.
Als u geen telefoonnummer in uw account heeft ingesteld, kunnen we zwakkere beveiligingstechnieken gebruiken op basis van wat we over u weten, zoals waar u voor het laatst heeft ingelogd op uw account. Dit werkt goed tegen bots, maar het beschermingsniveau tegen phishing kan dalen tot 10% en er is vrijwel geen bescherming tegen gerichte aanvallen. Dit komt omdat phishingpagina's en gerichte aanvallers u kunnen dwingen aanvullende informatie vrij te geven die Google mogelijk ter verificatie vraagt.
Gezien de voordelen van een dergelijke bescherming zou je je kunnen afvragen waarom we deze niet voor elke login vereisen. Het antwoord is dat dit extra complexiteit voor gebruikers zou creëren (vooral voor de onvoorbereiden - ca. vertaling.) en zou het risico op accountopschorting vergroten. Uit het experiment bleek dat 38% van de gebruikers geen toegang had tot hun telefoon wanneer ze inlogden op hun account. Nog eens 34% van de gebruikers kon hun secundaire e-mailadres niet onthouden.
Als u de toegang tot uw telefoon bent kwijtgeraakt of niet kunt inloggen, kunt u altijd terugkeren naar het vertrouwde apparaat waarop u eerder bent ingelogd om toegang te krijgen tot uw account.
Hack-for-hire-aanvallen begrijpen
Waar de meeste geautomatiseerde beveiligingen de meeste bots en phishing-aanvallen blokkeren, worden gerichte aanvallen schadelijker. Als onderdeel van onze voortdurende inspanningen om , identificeren we voortdurend nieuwe criminele hacking-for-hire-groepen die gemiddeld $ 750 vragen om één account te hacken. Deze aanvallers vertrouwen vaak op phishing-e-mails waarin familieleden, collega's, overheidsfunctionarissen of zelfs Google worden nagebootst. Als het doelwit de eerste phishing-poging niet opgeeft, gaan de daaropvolgende aanvallen langer dan een maand door.
Een voorbeeld van een man-in-the-middle-phishing-aanval die in realtime de juistheid van een wachtwoord verifieert. De phishingpagina vraagt de slachtoffers vervolgens om sms-authenticatiecodes in te voeren om toegang te krijgen tot het account van het slachtoffer.
We schatten dat slechts één op de miljoen gebruikers dit hoge risico loopt. Aanvallers richten zich niet op willekeurige mensen. Hoewel uit onderzoek blijkt dat onze geautomatiseerde beveiligingen tot wel 66% van de gerichte aanvallen die we hebben onderzocht kunnen vertragen en zelfs voorkomen, raden we toch aan dat gebruikers met een hoog risico zich registreren bij onze . Zoals tijdens ons onderzoek is waargenomen, hebben gebruikers die uitsluitend beveiligingssleutels gebruiken (dat wil zeggen tweestapsverificatie met behulp van codes die naar gebruikers worden verzonden - ca. vertaling), zijn het slachtoffer geworden van spearphishing.
Neem even de tijd om uw account te beschermen
U gebruikt veiligheidsgordels om lijf en leden te beschermen tijdens het reizen in een auto. En met de hulp van onze u kunt de veiligheid van uw account garanderen.
Uit ons onderzoek blijkt dat een van de gemakkelijkste dingen die u kunt doen om uw Google-account te beschermen, het instellen van een telefoonnummer is. Voor gebruikers met een hoog risico, zoals journalisten, gemeenschapsactivisten, bedrijfsleiders en politieke campagneteams, is ons programma zal helpen het hoogste veiligheidsniveau te garanderen. U kunt uw niet-Google-accounts ook beschermen tegen wachtwoordhacks door de extensie te installeren .
Het is interessant dat Google het advies dat het zijn gebruikers geeft niet opvolgt. voor tweefactorauthenticatie voor ruim 85 medewerkers. Volgens vertegenwoordigers van het bedrijf is er sinds het begin van het gebruik van hardwaretokens geen enkele accountdiefstal geregistreerd. Vergelijk met de cijfers in dit rapport. Het is dus duidelijk dat het gebruik van hardware Munten voor tweefactorauthenticatie de enige betrouwbare manier om te beschermen zowel rekeningen als informatie (en in sommige gevallen ook geld).
Om Google-accounts te beschermen, gebruiken we bijvoorbeeld tokens die zijn gemaakt volgens de FIDO U2F-standaard . En voor tweefactorauthenticatie in Windows-, Linux- en MacOS-besturingssystemen, .
(Noot van de vertaler)
Bron: www.habr.com