Google zverejnil „Ako efektívna je základná hygiena účtu pri predchádzaní krádeži účtu“ o tom, čo môže vlastník účtu urobiť, aby zabránil jeho krádeži zločincami. Predkladáme vám preklad tejto štúdie.
Je pravda, že najefektívnejšia metóda, ktorú používa samotný Google, sa do správy nedostala. O tejto metóde som musel na konci napísať sám.
Každý deň chránime používateľov pred stovkami tisícov pokusov o hacknutie účtu. pochádza od automatizovaných robotov s prístupom k systémom tretích strán na lámanie hesiel, no vyskytujú sa aj phishing a cielené útoky. Predtým sme povedali ako , ako je pridanie telefónneho čísla, vám môže pomôcť zostať v bezpečí, ale teraz to chceme dokázať v praxi.
Phishingový útok je pokus oklamať používateľa, aby dobrovoľne poskytol útočníkovi informácie, ktoré budú užitočné v procese hackovania. Napríklad skopírovaním rozhrania právnej aplikácie.
Útoky pomocou automatizovaných botov sú masívne pokusy o hackovanie, ktoré nie sú zamerané na konkrétnych používateľov. Zvyčajne sa vykonáva pomocou verejne dostupného softvéru a môžu ho používať aj netrénovaní „crackeri“. Útočníci nevedia nič o charakteristikách konkrétnych používateľov – jednoducho spustia program a „chytia“ všetky zle chránené vedecké záznamy v okolí.
Cielené útoky sú hackovanie konkrétnych účtov, pri ktorom sa zhromažďujú ďalšie informácie o každom účte a jeho vlastníkovi, sú možné pokusy o zachytenie a analýzu prevádzky, ako aj použitie zložitejších hackerských nástrojov.
(poznámka prekladateľa)
Spojili sme sa s výskumníkmi z New York University a University of California, aby sme zistili, aká účinná je základná hygiena účtu pri predchádzaní krádeži účtu.
Ročná štúdia o и bol prezentovaný v stredu na stretnutí odborníkov, politikov a používateľov tzv .
Náš výskum ukazuje, že jednoduché pridanie telefónneho čísla do vášho účtu Google môže v našom vyšetrovaní zablokovať až 100 % automatizovaných útokov botov, 99 % hromadných phishingových útokov a 66 % cielených útokov.
Automatická proaktívna ochrana Google proti krádeži účtu
Implementujeme automatickú proaktívnu ochranu, aby sme lepšie chránili všetkých našich používateľov pred hackovaním účtu. Funguje to takto: Ak zistíme podozrivý pokus o prihlásenie (napríklad z nového miesta alebo zariadenia), požiadame o dodatočný dôkaz, že ste to skutočne vy. Týmto potvrdením môže byť overenie, že máte prístup k dôveryhodnému telefónnemu číslu, alebo odpoveď na otázku, na ktorú len vy poznáte správnu odpoveď.
Ak ste prihlásený/-á do telefónu alebo ste v nastaveniach účtu uviedli telefónne číslo, môžeme poskytnúť rovnakú úroveň zabezpečenia ako verifikáciu v dvoch krokoch. Zistili sme, že SMS kód odoslaný na telefónne číslo na obnovenie pomohol zablokovať 100 % automatizovaných robotov, 96 % hromadných phishingových útokov a 76 % cielených útokov. A výzvy zariadenia na potvrdenie transakcie, bezpečnejšia náhrada za SMS, pomohli zabrániť 100 % automatizovaných robotov, 99 % masových phishingových útokov a 90 % cielených útokov.
Ochrana založená na vlastníctve zariadenia a znalosti určitých faktov pomáha čeliť automatizovaným robotom, zatiaľ čo ochrana vlastníctva zariadenia pomáha predchádzať phishingu a dokonca aj cieleným útokom.
Ak vo svojom účte nemáte nastavené telefónne číslo, môžeme použiť slabšie bezpečnostné techniky na základe toho, čo o vás vieme, napríklad kde ste sa naposledy prihlásili do svojho účtu. To funguje dobre proti botom, ale úroveň ochrany proti phishingu môže klesnúť až na 10 % a prakticky neexistuje žiadna ochrana proti cieleným útokom. Je to preto, že phishingové stránky a cielení útočníci vás môžu prinútiť odhaliť ďalšie informácie, ktoré môže spoločnosť Google požiadať o overenie.
Vzhľadom na výhody takejto ochrany by si niekto mohol položiť otázku, prečo ju nevyžadujeme pri každom prihlásení. Odpoveďou je, že by to vytvorilo ďalšiu zložitosť pre používateľov (hlavne pre nepripravenych - cca. preklad.) a zvýšilo by sa riziko pozastavenia účtu. Experiment zistil, že 38 % používateľov nemalo pri prihlasovaní sa do svojho účtu prístup k svojmu telefónu. Ďalších 34 % používateľov si nepamätalo svoju sekundárnu e-mailovú adresu.
Ak ste stratili prístup k telefónu alebo sa nemôžete prihlásiť, kedykoľvek sa môžete vrátiť do dôveryhodného zariadenia, z ktorého ste sa predtým prihlásili, a získať prístup k svojmu účtu.
Pochopenie útokov typu hack-for-hire
Tam, kde väčšina automatizovaných ochrán blokuje väčšinu robotov a phishingových útokov, cielené útoky sú škodlivejšie. V rámci nášho pokračujúceho úsilia o , neustále identifikujeme nové kriminálne hackovacie skupiny, ktoré si účtujú v priemere 750 USD za hacknutie jedného účtu. Títo útočníci sa často spoliehajú na phishingové e-maily, ktoré sa vydávajú za členov rodiny, kolegov, vládnych úradníkov alebo dokonca Google. Ak sa cieľ nevzdá pri prvom pokuse o phishing, ďalšie útoky pokračujú viac ako mesiac.
Príklad phishingového útoku typu man-in-the-middle, ktorý overuje správnosť hesla v reálnom čase. Phishingová stránka potom vyzve obete, aby zadali SMS overovacie kódy na prístup k účtu obete.
Odhadujeme, že len jeden z milióna používateľov je vystavený tomuto vysokému riziku. Útočníci sa nezameriavajú na náhodných ľudí. Aj keď výskum ukazuje, že naše automatizované ochrany môžu pomôcť oddialiť a dokonca zabrániť až 66 % cielených útokov, ktoré sme študovali, stále odporúčame, aby sa vysokorizikoví používatelia zaregistrovali na . Ako sme zistili počas nášho vyšetrovania, používatelia, ktorí používajú výlučne bezpečnostné kľúče (teda dvojstupňová autentifikácia pomocou kódov zaslaných používateľom - cca. preklad), sa stali obeťami spear phishingu.
Venujte trochu času ochrane svojho účtu
Počas cestovania v aute používate bezpečnostné pásy na ochranu života a končatín. A s pomocou našej môžete zaistiť bezpečnosť svojho účtu.
Náš prieskum ukazuje, že jednou z najjednoduchších vecí, ktoré môžete urobiť na ochranu svojho účtu Google, je nastaviť si telefónne číslo. Náš program je určený pre vysokorizikových používateľov, ako sú novinári, komunitní aktivisti, obchodní lídri a tímy politických kampaní pomôže zaistiť najvyššiu úroveň bezpečnosti. Inštaláciou rozšírenia môžete tiež chrániť svoje účty mimo Google pred napadnutím hesiel .
Je zaujímavé, že Google sa neriadi radami, ktoré dáva svojim používateľom. na dvojfaktorovú autentifikáciu pre viac ako 85 000 svojich zamestnancov. Podľa predstaviteľov korporácie od začiatku používania hardvérových tokenov nebola zaznamenaná ani jedna krádež účtu. Porovnajte s údajmi uvedenými v tejto správe. Je teda zrejmé, že použitie hardvéru žetóny pre dvojfaktorovú autentifikáciu jediný spoľahlivý spôsob ochrany účty aj informácie (a v niektorých prípadoch aj peniaze).
Na ochranu účtov Google používame napríklad tokeny vytvorené podľa štandardu FIDO U2F . A pre dvojfaktorovú autentifikáciu v operačných systémoch Windows, Linux a MacOS, .
(poznámka prekladateľa)
Zdroj: hab.com