Google har publisert "Hvor effektiv er grunnleggende kontohygiene for å forhindre kontotyveri" om hva en kontoeier kan gjøre for å forhindre at den blir stjålet av kriminelle. Vi presenterer for din oppmerksomhet en oversettelse av denne studien.
Riktignok var den mest effektive metoden, som brukes av Google selv, ikke inkludert i rapporten. Jeg måtte selv skrive om denne metoden til slutt.
Hver dag beskytter vi brukere mot hundretusenvis av kontoforsøk. kommer fra automatiserte roboter med tilgang til tredjeparts passordknekkingssystemer, men phishing og målrettede angrep er også tilstede. Tidligere fortalte vi hvordan , for eksempel å legge til et telefonnummer, kan hjelpe deg med å holde deg trygg, men nå ønsker vi å bevise det i praksis.
Et phishing-angrep er et forsøk på å lure en bruker til frivillig å gi angriperen informasjon som vil være nyttig i hackingsprosessen. For eksempel ved å kopiere grensesnittet til en juridisk applikasjon.
Angrep med automatiserte roboter er massive hackingforsøk som ikke er rettet mot spesifikke brukere. Utføres vanligvis ved hjelp av offentlig tilgjengelig programvare og kan brukes selv av utrente "crackere". Angripere vet ingenting om egenskapene til spesifikke brukere - de starter ganske enkelt programmet og "fanger" alle de dårlig beskyttede vitenskapelige postene rundt.
Målrettede angrep er hacking av spesifikke kontoer, der tilleggsinformasjon samles inn om hver konto og dens eier, forsøk på å avskjære og analysere trafikk, samt bruk av mer komplekse hackingverktøy er mulig.
(Oversetterens notat)
Vi slo oss sammen med forskere fra New York University og University of California for å finne ut hvor effektiv grunnleggende kontohygiene er for å forhindre kontokapring.
Årlig studie om и ble presentert onsdag på et møte med eksperter, politikere og brukere kalt .
Vår forskning viser at bare å legge til et telefonnummer til Google-kontoen din kan blokkere opptil 100 % av automatiserte botangrep, 99 % av bulk phishing-angrep og 66 % av målrettede angrep i vår undersøkelse.
Automatisk proaktiv Google-beskyttelse mot kontokapring
Vi implementerer automatisk proaktiv beskyttelse for å bedre beskytte alle våre brukere mot kontohacking. Slik fungerer det: Hvis vi oppdager et mistenkelig påloggingsforsøk (for eksempel fra en ny plassering eller enhet), vil vi be om ytterligere bevis på at det virkelig er deg. Denne bekreftelsen kan være å bekrefte at du har tilgang til et pålitelig telefonnummer, eller svare på et spørsmål som bare du vet det riktige svaret på.
Hvis du er logget på telefonen eller oppgitt et telefonnummer i kontoinnstillingene, kan vi tilby samme sikkerhetsnivå som totrinnsverifisering. Vi fant ut at en SMS-kode sendt til et telefonnummer for gjenoppretting bidro til å blokkere 100 % av automatiserte roboter, 96 % av bulk phishing-angrep og 76 % av målrettede angrep. Og enhetens meldinger om å bekrefte en transaksjon, en sikrere erstatning for SMS, bidro til å forhindre 100 % av automatiserte roboter, 99 % av massefiskeangrep og 90 % av målrettede angrep.
Beskyttelse basert på både enhetseierskap og kunnskap om visse fakta hjelper mot automatiserte roboter, mens enhetseierskapsbeskyttelse bidrar til å forhindre phishing og til og med målrettede angrep.
Hvis du ikke har konfigurert et telefonnummer på kontoen din, kan vi bruke svakere sikkerhetsteknikker basert på det vi vet om deg, for eksempel hvor du sist logget på kontoen din. Dette fungerer bra mot bots, men beskyttelsesnivået mot phishing kan falle til 10 %, og det er praktisk talt ingen beskyttelse mot målrettede angrep. Dette er fordi phishing-sider og målrettede angripere kan tvinge deg til å avsløre all tilleggsinformasjon som Google kan be om bekreftelse.
Gitt fordelene med slik beskyttelse, kan man spørre seg hvorfor vi ikke krever det for hver pålogging. Svaret er at det vil skape ekstra kompleksitet for brukere (spesielt for uforberedte - ca. oversettelse.) og vil øke risikoen for kontosuspensjon. Eksperimentet fant at 38 % av brukerne ikke hadde tilgang til telefonen når de logget på kontoen sin. Ytterligere 34 % av brukerne kunne ikke huske sin sekundære e-postadresse.
Hvis du har mistet tilgangen til telefonen eller ikke kan logge på, kan du alltid gå tilbake til den pålitelige enheten du tidligere logget på for å få tilgang til kontoen din.
Forstå hack-for-hire-angrep
Der de fleste automatiserte beskyttelsene blokkerer de fleste roboter og phishing-angrep, blir målrettede angrep mer skadelige. Som en del av vår pågående innsats for å , identifiserer vi stadig nye kriminelle hacking-for-hire-grupper som krever et gjennomsnitt på $750 for å hacke én konto. Disse angriperne er ofte avhengige av phishing-e-poster som utgir seg for å være familiemedlemmer, kolleger, myndighetspersoner eller til og med Google. Hvis målet ikke gir opp på det første phishing-forsøket, fortsetter påfølgende angrep i mer enn en måned.
Et eksempel på et man-in-the-middle-phishing-angrep som verifiserer riktigheten av et passord i sanntid. Phishing-siden ber deretter ofrene om å skrive inn SMS-autentiseringskoder for å få tilgang til offerets konto.
Vi anslår at bare én av en million brukere har denne høye risikoen. Angripere retter seg ikke mot tilfeldige personer. Selv om forskning viser at våre automatiserte beskyttelser kan bidra til å forsinke og til og med forhindre opptil 66 % av de målrettede angrepene vi har studert, anbefaler vi fortsatt at brukere med høy risiko registrerer seg hos våre . Som ble observert under vår undersøkelse, brukere som utelukkende bruker sikkerhetsnøkler (det vil si totrinns autentisering ved bruk av koder sendt til brukere - ca. oversettelse), har blitt ofre for spyd-phishing.
Bruk litt tid på å beskytte kontoen din
Du bruker sikkerhetsbelter for å beskytte liv og lemmer mens du reiser i bil. Og med hjelp av vår du kan sikre sikkerheten til kontoen din.
Undersøkelsen vår viser at en av de enkleste tingene du kan gjøre for å beskytte Google-kontoen din, er å sette opp et telefonnummer. For brukere med høy risiko som journalister, samfunnsaktivister, bedriftsledere og politiske kampanjeteam, programmet vårt vil bidra til å sikre det høyeste sikkerhetsnivået. Du kan også beskytte ikke-Google-kontoene dine mot passordhack ved å installere utvidelsen .
Det er interessant at Google ikke følger rådene de gir brukerne. for tofaktorautentisering for mer enn 85 000 av sine ansatte. I følge representanter for selskapet har det ikke blitt registrert et eneste kontotyveri siden begynnelsen av å bruke maskinvaretokens. Sammenlign med tallene presentert i denne rapporten. Dermed er det klart at bruken av maskinvare tokens for tofaktorautentisering den eneste pålitelige måten å beskytte både kontoer og informasjon (og i noen tilfeller også penger).
For å beskytte Google-kontoer bruker vi for eksempel tokens laget i henhold til FIDO U2F-standarden . Og for tofaktorautentisering i Windows, Linux og MacOS operativsystemer, .
(Oversetterens notat)
Kilde: www.habr.com