O Google publicou “Quão eficaz é a higiene básica da conta na prevenção do roubo de contas” sobre o que o proprietário de uma conta pode fazer para evitar que ela seja roubada por criminosos. Apresentamos a sua atenção uma tradução deste estudo.
É verdade que o método mais eficaz, utilizado pelo próprio Google, não foi incluído no relatório. Eu mesmo tive que escrever sobre esse método no final.
Todos os dias protegemos os usuários de centenas de milhares de tentativas de invasão de contas. vem de bots automatizados com acesso a sistemas de quebra de senhas de terceiros, mas phishing e ataques direcionados também estão presentes. Anteriormente contamos como , como adicionar um número de telefone, podem ajudá-lo a se manter seguro, mas agora queremos provar isso na prática.
Um ataque de phishing é uma tentativa de induzir um usuário a fornecer voluntariamente ao invasor informações que serão úteis no processo de hacking. Por exemplo, copiando a interface de um aplicativo jurídico.
Os ataques que utilizam bots automatizados são tentativas massivas de hackers que não visam usuários específicos. Geralmente realizado usando software disponível publicamente e pode ser usado até mesmo por “crackers” não treinados. Os invasores não sabem nada sobre as características de usuários específicos - eles simplesmente iniciam o programa e “capturam” todos os registros científicos mal protegidos disponíveis.
Os ataques direcionados são hackers de contas específicas, nos quais são coletadas informações adicionais sobre cada conta e seu proprietário, são possíveis tentativas de interceptar e analisar o tráfego, bem como o uso de ferramentas de hacking mais complexas.
(Nota do tradutor)
Fizemos uma parceria com pesquisadores da Universidade de Nova York e da Universidade da Califórnia para descobrir quão eficaz é a higiene básica da conta na prevenção do sequestro de contas.
Estudo anual sobre и foi apresentado na quarta-feira em uma reunião de especialistas, legisladores e usuários chamada .
Nossa pesquisa mostra que simplesmente adicionar um número de telefone à sua conta do Google pode bloquear até 100% dos ataques automatizados de bots, 99% dos ataques de phishing em massa e 66% dos ataques direcionados em nossa investigação.
Proteção proativa automática do Google contra sequestro de conta
Implementamos proteção proativa automática para proteger melhor todos os nossos usuários contra invasões de contas. Funciona assim: se detectarmos uma tentativa de login suspeita (por exemplo, de um novo local ou dispositivo), solicitaremos provas adicionais de que é realmente você. Essa confirmação pode ser verificar se você tem acesso a um número de telefone confiável ou responder a uma pergunta para a qual só você sabe a resposta correta.
Se você estiver conectado ao seu telefone ou tiver fornecido um número de telefone nas configurações da sua conta, podemos fornecer o mesmo nível de segurança que a verificação em duas etapas. Descobrimos que um código SMS enviado para um número de telefone de recuperação ajudou a bloquear 100% dos bots automatizados, 96% dos ataques de phishing em massa e 76% dos ataques direcionados. E as solicitações do dispositivo para confirmar uma transação, um substituto mais seguro para o SMS, ajudaram a prevenir 100% dos bots automatizados, 99% dos ataques de phishing em massa e 90% dos ataques direcionados.
A proteção baseada na propriedade do dispositivo e no conhecimento de determinados fatos ajuda a combater bots automatizados, enquanto a proteção da propriedade do dispositivo ajuda a prevenir phishing e até mesmo ataques direcionados.
Se você não tiver um número de telefone configurado em sua conta, poderemos usar técnicas de segurança mais fracas com base no que sabemos sobre você, como onde você fez login pela última vez em sua conta. Isto funciona bem contra bots, mas o nível de proteção contra phishing pode cair para 10% e praticamente não há proteção contra ataques direcionados. Isso ocorre porque as páginas de phishing e os invasores direcionados podem forçá-lo a revelar qualquer informação adicional que o Google possa solicitar para verificação.
Dados os benefícios dessa proteção, pode-se perguntar por que não a exigimos para cada login. A resposta é que isso criaria complexidade adicional para os usuários (especialmente para os despreparados - aprox. tradução.) e aumentaria o risco de suspensão da conta. O experimento descobriu que 38% dos usuários não tinham acesso ao telefone ao fazer login na conta. Outros 34% dos usuários não conseguiam lembrar seu endereço de e-mail secundário.
Se você perdeu o acesso ao seu telefone ou não consegue fazer login, você pode retornar ao dispositivo confiável no qual fez login anteriormente para acessar sua conta.
Compreendendo os ataques de hack-for-hire
Enquanto a maioria das proteções automatizadas bloqueia a maioria dos bots e ataques de phishing, os ataques direcionados tornam-se mais prejudiciais. Como parte dos nossos esforços contínuos para , estamos constantemente identificando novos grupos criminosos de hacking de aluguel que cobram em média US$ 750 para hackear uma conta. Esses invasores geralmente dependem de e-mails de phishing que se fazem passar por familiares, colegas, funcionários do governo ou até mesmo pelo Google. Se o alvo não desistir na primeira tentativa de phishing, os ataques subsequentes continuarão por mais de um mês.
Um exemplo de ataque de phishing man-in-the-middle que verifica a exatidão de uma senha em tempo real. A página de phishing solicita às vítimas que insiram códigos de autenticação por SMS para acessar a conta da vítima.
Estimamos que apenas um em um milhão de usuários corre esse risco elevado. Os invasores não têm como alvo pessoas aleatórias. Embora a pesquisa mostre que nossas proteções automatizadas podem ajudar a atrasar e até mesmo prevenir até 66% dos ataques direcionados que estudamos, ainda assim recomendamos que usuários de alto risco se registrem em nosso . Conforme observado durante nossa investigação, os usuários que utilizam exclusivamente chaves de segurança (isto é, autenticação em duas etapas usando códigos enviados aos usuários - aprox. tradução), tornaram-se vítimas de spear phishing.
Reserve um pouco de tempo para proteger sua conta
Você usa cintos de segurança para proteger vidas e membros enquanto viaja de carro. E com a ajuda de nossos você pode garantir a segurança da sua conta.
Nossa pesquisa mostra que uma das coisas mais fáceis que você pode fazer para proteger sua Conta do Google é configurar um número de telefone. Para usuários de alto risco, como jornalistas, ativistas comunitários, líderes empresariais e equipes de campanha política, nosso programa ajudará a garantir o mais alto nível de segurança. Você também pode proteger suas contas que não são do Google contra hackers de senha instalando a extensão .
É interessante que o Google não siga os conselhos que dá aos seus usuários. para autenticação de dois fatores para mais de 85 de seus funcionários. Segundo representantes da corporação, desde o início do uso de tokens de hardware, não foi registrado nenhum roubo de conta. Compare com os números apresentados neste relatório. Assim fica claro que o uso de hardware tokens para autenticação de dois fatores a única maneira confiável de proteger contas e informações (e em alguns casos também dinheiro).
Para proteger as contas do Google, são utilizados tokens criados de acordo com o padrão FIDO U2F, por exemplo . E para autenticação de dois fatores em sistemas operacionais Windows, Linux e MacOS, .
(Nota do tradutor)
Fonte: habr.com