Google opublikowało „Jak skuteczna jest podstawowa higiena konta w zapobieganiu kradzieży konta” o tym, co właściciel konta może zrobić, aby zapobiec jego kradzieży przez przestępców. Przedstawiamy Państwu tłumaczenie tego opracowania.
To prawda, że w raporcie nie uwzględniono najskuteczniejszej metody, z której korzysta sam Google. Musiałam w końcu sama napisać o tej metodzie.
Każdego dnia chronimy użytkowników przed setkami tysięcy prób włamań na konta. pochodzi od zautomatyzowanych botów mających dostęp do systemów łamania haseł innych firm, ale zdarzają się również ataki typu phishing i ataki ukierunkowane. Wcześniej powiedzieliśmy, jak to zrobić , takie jak dodanie numeru telefonu, mogą pomóc Ci zachować bezpieczeństwo, ale teraz chcemy udowodnić to w praktyce.
Atak phishingowy to próba nakłonienia użytkownika do dobrowolnego przekazania atakującemu informacji, które będą przydatne w procesie hakerskim. Na przykład kopiując interfejs aplikacji prawnej.
Ataki z wykorzystaniem automatycznych botów to masowe próby włamań, które nie są wymierzone w konkretnych użytkowników. Zwykle przeprowadzane przy użyciu publicznie dostępnego oprogramowania i mogą być używane nawet przez nieprzeszkolonych „crackerów”. Atakujący nie wiedzą nic o cechach konkretnych użytkowników - po prostu uruchamiają program i „łapią” wszystkie znajdujące się w pobliżu słabo chronione dokumenty naukowe.
Ataki ukierunkowane to włamania na konkretne konta, podczas których zbierane są dodatkowe informacje o każdym koncie i jego właścicielu, możliwe są próby przechwytywania i analizowania ruchu, a także wykorzystanie bardziej złożonych narzędzi hakerskich.
(Nota tłumacza)
Nawiązaliśmy współpracę z badaczami z New York University i University of California, aby dowiedzieć się, jak skuteczna jest podstawowa higiena konta w zapobieganiu przejmowaniu kont.
Coroczne badanie dot и został zaprezentowany w środę na spotkaniu ekspertów, decydentów i użytkowników pt .
Nasze badanie pokazuje, że samo dodanie numeru telefonu do konta Google może zablokować aż do 100% automatycznych ataków botów, 99% masowych ataków phishingowych i 66% ataków ukierunkowanych objętych naszym dochodzeniem.
Automatyczna, proaktywna ochrona Google przed przejęciem konta
Wdrażamy automatyczną ochronę proaktywną, aby lepiej chronić wszystkich naszych użytkowników przed włamaniem na konta. Oto jak to działa: Jeśli wykryjemy podejrzaną próbę logowania (na przykład z nowej lokalizacji lub urządzenia), poprosimy o dodatkowy dowód, że to naprawdę Ty. Potwierdzeniem tym może być sprawdzenie, czy masz dostęp do zaufanego numeru telefonu lub udzielenie odpowiedzi na pytanie, na które tylko Ty znasz poprawną odpowiedź.
Jeśli jesteś zalogowany na swoim telefonie lub podałeś numer telefonu w ustawieniach konta, możemy zapewnić ten sam poziom bezpieczeństwa, co weryfikacja dwuetapowa. Odkryliśmy, że kod SMS wysłany na pomocniczy numer telefonu pomógł zablokować 100% automatycznych botów, 96% masowych ataków phishingowych i 76% ataków ukierunkowanych. A monity urządzenia o potwierdzenie transakcji, bezpieczniejszy zamiennik SMS-ów, pomogły zapobiec w 100% automatycznym botom, 99% masowym atakom phishingowym i 90% atakom ukierunkowanym.
Ochrona oparta zarówno na posiadaniu urządzenia, jak i znajomości pewnych faktów pomaga przeciwdziałać automatycznym botom, natomiast ochrona własności urządzenia pomaga zapobiegać phishingowi, a nawet atakom ukierunkowanym.
Jeśli nie masz ustawionego numeru telefonu na swoim koncie, możemy zastosować słabsze techniki bezpieczeństwa w oparciu o to, co o Tobie wiemy, np. o tym, gdzie ostatni raz logowałeś się na swoje konto. Działa to dobrze w przypadku botów, ale poziom ochrony przed phishingiem może spaść do 10%, a przed atakami ukierunkowanymi praktycznie nie ma ochrony. Dzieje się tak, ponieważ strony phishingowe i osoby atakujące ukierunkowane mogą zmusić Cię do ujawnienia wszelkich dodatkowych informacji, o które Google może poprosić do weryfikacji.
Biorąc pod uwagę korzyści płynące z takiej ochrony, można zapytać, dlaczego nie wymagamy jej przy każdym logowaniu. Odpowiedź jest taka, że spowodowałoby to dodatkową złożoność dla użytkowników (szczególnie dla nieprzygotowanych – ok. tłumaczenie.) i zwiększałoby ryzyko zawieszenia konta. Eksperyment wykazał, że 38% użytkowników nie miało dostępu do swojego telefonu podczas logowania się na swoje konto. Kolejne 34% użytkowników nie pamiętało swojego dodatkowego adresu e-mail.
Jeśli utracisz dostęp do telefonu lub nie możesz się zalogować, zawsze możesz wrócić do zaufanego urządzenia, z którego się wcześniej logowałeś, aby uzyskać dostęp do swojego konta.
Zrozumienie ataków hakerskich na zlecenie
Tam, gdzie większość zautomatyzowanych zabezpieczeń blokuje większość botów i ataków typu phishing, ataki ukierunkowane stają się bardziej szkodliwe. W ramach naszych ciągłych wysiłków mających na celu , stale identyfikujemy nowe grupy przestępcze zajmujące się hakowaniem na zlecenie, które pobierają średnio 750 dolarów za włamanie na jedno konto. Osoby atakujące często polegają na wiadomościach phishingowych, które podszywają się pod członków rodziny, współpracowników, urzędników państwowych, a nawet Google. Jeśli ofiara nie podda się przy pierwszej próbie phishingu, kolejne ataki trwają ponad miesiąc.
Przykład ataku phishingowego typu man-in-the-middle, który w czasie rzeczywistym weryfikuje poprawność hasła. Strona phishingowa następnie moni ofiarę do wprowadzenia kodów uwierzytelniających SMS w celu uzyskania dostępu do konta ofiary.
Szacujemy, że tylko jeden na milion użytkowników jest narażony na tak wysokie ryzyko. Celem atakujących nie są przypadkowe osoby. Chociaż badania pokazują, że nasze zautomatyzowane zabezpieczenia mogą pomóc w opóźnieniu, a nawet zapobieganiu nawet 66% analizowanych przez nas ataków ukierunkowanych, nadal zalecamy, aby użytkownicy wysokiego ryzyka zarejestrowali się w naszym . Jak zaobserwowano podczas naszego dochodzenia, użytkownicy korzystający wyłącznie z kluczy bezpieczeństwa (czyli uwierzytelnianie dwuetapowe za pomocą kodów wysyłanych do użytkowników – ok. tłumaczenie), padły ofiarą spear phishingu.
Poświęć trochę czasu na ochronę swojego konta
Podczas podróży samochodem zapinasz pasy bezpieczeństwa, aby chronić życie i zdrowie. I przy pomocy naszych możesz zadbać o bezpieczeństwo swojego konta.
Z naszych badań wynika, że jedną z najłatwiejszych rzeczy, jakie możesz zrobić, aby chronić swoje konto Google, jest skonfigurowanie numeru telefonu. Nasz program jest przeznaczony dla użytkowników wysokiego ryzyka, takich jak dziennikarze, działacze społeczni, liderzy biznesu i zespoły prowadzące kampanie polityczne pomogą zapewnić najwyższy poziom bezpieczeństwa. Możesz także chronić swoje konta inne niż Google przed włamaniem na hasło, instalując rozszerzenie .
Co ciekawe, Google nie stosuje się do rad, jakie daje swoim użytkownikom. w zakresie uwierzytelniania dwuskładnikowego dla ponad 85 000 swoich pracowników. Zdaniem przedstawicieli korporacji, od początku stosowania tokenów sprzętowych nie odnotowano ani jednej kradzieży konta. Porównaj z danymi przedstawionymi w tym raporcie. Zatem jasne jest, że użycie sprzętu tokeny do uwierzytelniania dwuskładnikowego jedyny niezawodny sposób ochrony zarówno rachunki, jak i informacje (a w niektórych przypadkach także pieniądze).
Do ochrony kont Google wykorzystuje się np. tokeny utworzone zgodnie ze standardem FIDO U2F . A w przypadku uwierzytelniania dwuskładnikowego w systemach operacyjnych Windows, Linux i MacOS, .
(Nota tłumacza)
Źródło: www.habr.com