Google a publicat „Cât de eficientă este igiena de bază a contului în prevenirea furtului de cont” despre ce poate face un proprietar de cont pentru a preveni furtul acestuia de către infractorii. Vă prezentăm atenției o traducere a acestui studiu.
Adevărat, cea mai eficientă metodă, care este folosită chiar de Google, nu a fost inclusă în raport. A trebuit să scriu și eu despre această metodă la sfârșit.
În fiecare zi, protejăm utilizatorii de sute de mii de încercări de piratare a contului. vine de la roboți automatizați cu acces la sisteme terțe de spargere a parolelor, dar sunt prezente și atacuri de tip phishing și direcționate. Anterior, am spus cum , cum ar fi adăugarea unui număr de telefon, vă poate ajuta să rămâneți în siguranță, dar acum vrem să dovedim acest lucru în practică.
Un atac de tip phishing este o încercare de a păcăli un utilizator pentru a oferi voluntar atacatorului informații care vor fi utile în procesul de hacking. De exemplu, prin copierea interfeței unei cereri legale.
Atacurile care folosesc roboți automati sunt încercări masive de hacking care nu vizează anumiți utilizatori. De obicei, se desfășoară folosind software-ul disponibil publicului și poate fi folosit chiar și de „crackeri” neinstruiți. Atacatorii nu știu nimic despre caracteristicile anumitor utilizatori - pur și simplu lansează programul și „prind” toate înregistrările științifice prost protejate din jur.
Atacurile vizate sunt piratarea unor conturi specifice, în care sunt colectate informații suplimentare despre fiecare cont și proprietarul acestuia, sunt posibile încercări de interceptare și analiză a traficului, precum și utilizarea unor instrumente de hacking mai complexe.
(Nota traducătorului)
Am făcut echipă cu cercetători de la Universitatea din New York și de la Universitatea din California pentru a afla cât de eficientă este igiena de bază a contului în prevenirea deturnării conturilor.
Studiu anual despre и a fost prezentat miercuri la o reuniune a experților, factorilor de decizie și utilizatorilor convocată .
Cercetarea noastră arată că simpla adăugare a unui număr de telefon la contul dvs. Google poate bloca până la 100% din atacurile automate de roboți, 99% din atacurile de phishing în bloc și 66% din atacurile direcționate din investigația noastră.
Protecție automată proactivă Google împotriva deturnării conturilor
Implementăm protecție automată proactivă pentru a proteja mai bine toți utilizatorii noștri de piratarea contului. Iată cum funcționează: dacă detectăm o încercare de conectare suspectă (de exemplu, dintr-o locație sau un dispozitiv nou), vă vom cere o dovadă suplimentară că sunteți cu adevărat dvs. Această confirmare ar putea fi verificarea faptului că aveți acces la un număr de telefon de încredere sau răspunsul la o întrebare la care numai dvs. cunoașteți răspunsul corect.
Dacă v-ați conectat la telefon sau ați furnizat un număr de telefon în setările contului, vă putem oferi același nivel de securitate ca și verificarea în doi pași. Am descoperit că un cod SMS trimis la un număr de telefon de recuperare a ajutat la blocarea 100% dintre roboții automatizați, 96% din atacurile de phishing în bloc și 76% dintre atacurile direcționate. Iar solicitările de pe dispozitiv pentru a confirma o tranzacție, un înlocuitor mai sigur pentru SMS, au ajutat la prevenirea 100% dintre roboții automatizați, 99% din atacurile de phishing în masă și 90% din atacurile direcționate.
Protecția bazată atât pe deținerea dispozitivului, cât și pe cunoașterea anumitor fapte ajută la combaterea roboților automatizați, în timp ce protecția proprietății dispozitivului ajută la prevenirea phishing-ului și chiar a atacurilor direcționate.
Dacă nu aveți un număr de telefon configurat în contul dvs., este posibil să folosim tehnici de securitate mai slabe bazate pe ceea ce știm despre dvs., cum ar fi locul unde v-ați conectat ultima dată la contul dvs. Acest lucru funcționează bine împotriva roboților, dar nivelul de protecție împotriva phishingului poate scădea la 10% și practic nu există protecție împotriva atacurilor țintite. Acest lucru se datorează faptului că paginile de phishing și atacatorii vizați vă pot forța să dezvăluiți orice informații suplimentare pe care Google le poate solicita verificarea.
Având în vedere beneficiile unei astfel de protecție, s-ar putea întreba de ce nu o avem nevoie pentru fiecare conectare. Răspunsul este că ar crea o complexitate suplimentară pentru utilizatori (mai ales pentru cei nepregătiți - aprox. traducere.) și ar crește riscul suspendării contului. Experimentul a constatat că 38% dintre utilizatori nu au avut acces la telefonul lor atunci când se autentificau la contul lor. Alți 34% dintre utilizatori nu și-au amintit adresa de e-mail secundară.
Dacă ați pierdut accesul la telefon sau nu vă puteți conecta, vă puteți întoarce oricând la dispozitivul de încredere de pe care v-ați conectat anterior pentru a vă accesa contul.
Înțelegerea atacurilor hack-for-hire
Acolo unde majoritatea protecțiilor automate blochează majoritatea roboților și atacurilor de tip phishing, atacurile direcționate devin mai dăunătoare. Ca parte a eforturilor noastre continue de a , identificăm în mod constant noi grupuri criminale de hacking-for-hire care percep în medie 750 USD pentru a sparge un cont. Acești atacatori se bazează adesea pe e-mailuri de phishing care uzurpă identitatea membrilor familiei, colegilor, oficialilor guvernamentali sau chiar Google. Dacă ținta nu renunță la prima încercare de phishing, atacurile ulterioare continuă mai mult de o lună.
Un exemplu de atac de tip phishing de tip man-in-the-middle care verifică corectitudinea unei parole în timp real. Pagina de phishing solicită apoi victimelor să introducă coduri de autentificare prin SMS pentru a accesa contul victimei.
Estimăm că doar unul dintr-un milion de utilizatori este expus acestui risc ridicat. Atacatorii nu vizează persoane aleatorii. În timp ce cercetările arată că protecțiile noastre automate pot ajuta la întârzierea și chiar prevenirea până la 66% din atacurile vizate pe care le-am studiat, totuși recomandăm ca utilizatorii cu risc ridicat să se înregistreze la . După cum sa observat în timpul investigației noastre, utilizatorii care folosesc exclusiv chei de securitate (adică autentificare în doi pași folosind coduri trimise utilizatorilor - aprox. traducere), au devenit victime ale phishingului.
Acordați-vă puțin timp pentru a vă proteja contul
Folosiți centurile de siguranță pentru a proteja viața și membrele în timpul călătoriilor în mașini. Și cu ajutorul nostru puteți asigura securitatea contului dvs.
Cercetările noastre arată că unul dintre cele mai simple lucruri pe care le puteți face pentru a vă proteja Contul Google este să configurați un număr de telefon. Pentru utilizatorii cu risc ridicat, cum ar fi jurnalişti, activişti comunitari, lideri de afaceri şi echipe de campanie politică, programul nostru va contribui la asigurarea celui mai înalt nivel de securitate. De asemenea, vă puteți proteja conturile non-Google împotriva hackurilor de parole instalând extensia .
Este interesant că Google nu urmează sfaturile pe care le oferă utilizatorilor săi. pentru autentificarea în doi factori pentru mai mult de 85 de angajați. Potrivit reprezentanților corporației, de la începutul utilizării token-urilor hardware, nu a fost înregistrat niciun furt de cont. Comparați cu cifrele prezentate în acest raport. Astfel, este clar că utilizarea hardware-ului jetoane pentru autentificarea cu doi factori singura modalitate fiabilă de a proteja atât conturi cât și informații (și în unele cazuri și bani).
Pentru a proteja conturile Google, folosim token-uri create conform standardului FIDO U2F, de exemplu . Și pentru autentificarea cu doi factori în sistemele de operare Windows, Linux și MacOS, .
(Nota traducătorului)
Sursa: www.habr.com