Google je objavil »Kako učinkovita je osnovna higiena računa pri preprečevanju kraje računa« o tem, kaj lahko lastnik računa stori, da prepreči, da bi ga ukradli kriminalci. Predstavljamo vam prevod te študije.
Res je, najučinkovitejša metoda, ki jo uporablja sam Google, ni bila vključena v poročilo. O tej metodi sem morala na koncu pisati tudi sama.
Vsak dan zaščitimo uporabnike pred več sto tisoč poskusi vdora v račun. izvira iz avtomatiziranih botov z dostopom do sistemov za razbijanje gesel tretjih oseb, vendar so prisotni tudi lažno predstavljanje in ciljni napadi. Prej smo povedali, kako , kot je dodajanje telefonske številke, vam lahko pomaga ostati varen, zdaj pa želimo to dokazati v praksi.
Napad z lažnim predstavljanjem je poskus pretentanja uporabnika, da bi napadalcu prostovoljno dal informacije, ki bodo koristne v procesu vdiranja. Na primer s kopiranjem vmesnika pravne aplikacije.
Napadi z avtomatiziranimi boti so množični poskusi vdora, ki niso namenjeni določenim uporabnikom. Običajno se izvaja z javno dostopno programsko opremo in jo lahko uporabljajo tudi neizkušeni »krekerji«. Napadalci ne vedo ničesar o značilnostih določenih uporabnikov - preprosto zaženejo program in "ujamejo" vse slabo zaščitene znanstvene zapise naokoli.
Ciljni napadi so vdori v določene račune, pri katerih se zbirajo dodatni podatki o posameznem računu in njegovem lastniku, možni so poskusi prestrezanja in analize prometa ter uporaba kompleksnejših hekerskih orodij.
(Opomba prevajalca)
Povezali smo se z raziskovalci z Univerze v New Yorku in Univerze v Kaliforniji, da bi ugotovili, kako učinkovita je osnovna higiena računa pri preprečevanju ugrabitve računa.
Letna študija o и je bila predstavljena v sredo na srečanju strokovnjakov, oblikovalcev politik in uporabnikov .
Naše raziskave kažejo, da preprosto dodajanje telefonske številke vašemu Google Računu lahko blokira do 100 % avtomatiziranih napadov botov, 99 % množičnih napadov z lažnim predstavljanjem in 66 % ciljanih napadov v naši preiskavi.
Samodejna proaktivna Googlova zaščita pred ugrabitvijo računa
Izvajamo samodejno proaktivno zaščito, da bolje zaščitimo vse naše uporabnike pred vdori v račune. Takole deluje: če zaznamo sumljiv poskus prijave (na primer z nove lokacije ali naprave), bomo zahtevali dodaten dokaz, da ste to res vi. Ta potrditev je lahko potrditev, da imate dostop do zaupanja vredne telefonske številke, ali odgovor na vprašanje, na katerega samo vi poznate pravilen odgovor.
Če ste prijavljeni v svoj telefon ali ste v nastavitvah računa navedli telefonsko številko, lahko zagotovimo enako raven varnosti kot preverjanje v dveh korakih. Ugotovili smo, da je koda SMS, poslana na telefonsko številko za obnovitev, pomagala blokirati 100 % avtomatiziranih robotov, 96 % množičnih napadov z lažnim predstavljanjem in 76 % ciljanih napadov. In pozivi naprave za potrditev transakcije, varnejša zamenjava za SMS, so pomagali preprečiti 100 % avtomatiziranih botov, 99 % napadov z lažnim predstavljanjem in 90 % ciljanih napadov.
Zaščita, ki temelji na lastništvu naprave in poznavanju določenih dejstev, pomaga preprečiti avtomatizirane bote, medtem ko zaščita lastništva naprave pomaga preprečiti lažno predstavljanje in celo ciljne napade.
Če v svojem računu nimate nastavljene telefonske številke, lahko uporabimo šibkejše varnostne tehnike glede na to, kar vemo o vas, na primer, kje ste se nazadnje prijavili v svoj račun. To dobro deluje proti botom, vendar lahko stopnja zaščite pred lažnim predstavljanjem pade na 10 %, zaščite pred ciljnimi napadi pa praktično ni. To je zato, ker vas lahko strani z lažnim predstavljanjem in ciljani napadalci prisilijo, da razkrijete kakršne koli dodatne informacije, ki jih Google morda zahteva za preverjanje.
Glede na prednosti takšne zaščite se lahko vprašamo, zakaj je ne zahtevamo za vsako prijavo. Odgovor je, da bi to povzročilo dodatno zapletenost za uporabnike (posebej za nepripravljene - cca. prevod.) in bi povečalo tveganje blokade računa. Poskus je pokazal, da 38 % uporabnikov ob prijavi v svoj račun ni imelo dostopa do svojega telefona. Drugih 34 % uporabnikov se ni moglo spomniti svojega sekundarnega e-poštnega naslova.
Če ste izgubili dostop do telefona ali se ne morete prijaviti, se lahko kadar koli vrnete na zaupanja vredno napravo, iz katere ste se prej prijavili, da dostopate do svojega računa.
Razumevanje napadov hack-for-hire
Če večina avtomatiziranih zaščit blokira večino botov in lažnih napadov, ciljni napadi postanejo bolj škodljivi. Kot del naših nenehnih prizadevanj za , nenehno odkrivamo nove kriminalne skupine za najem vdorov, ki v povprečju zaračunajo 750 USD za vdor v en račun. Ti napadalci se pogosto zanašajo na e-poštna sporočila z lažnim predstavljanjem, ki predstavljajo družinske člane, sodelavce, državne uradnike ali celo Google. Če tarča ne odneha ob prvem poskusu lažnega predstavljanja, se naslednji napadi nadaljujejo več kot mesec dni.
Primer lažnega predstavljanja človeka v sredini, ki preverja pravilnost gesla v realnem času. Stran z lažnim predstavljanjem nato pozove žrtve, da vnesejo kode za preverjanje pristnosti SMS za dostop do računa žrtve.
Ocenjujemo, da je le eden od milijona uporabnikov izpostavljen tako visokemu tveganju. Napadalci ne ciljajo na naključne ljudi. Medtem ko raziskave kažejo, da lahko naša avtomatizirana zaščita pomaga odložiti in celo preprečiti do 66 % ciljnih napadov, ki smo jih preučevali, še vedno priporočamo, da se uporabniki z visokim tveganjem registrirajo pri našem . Kot smo ugotovili med našo preiskavo, uporabniki, ki uporabljajo izključno varnostne ključe (to je dvostopenjska avtentikacija s kodami, poslanimi uporabnikom - pribl. prevod), so postali žrtve lažnega predstavljanja.
Vzemite si malo časa in zaščitite svoj račun
Varnostne pasove uporabljate za zaščito življenja in udov med potovanjem v avtomobilih. In s pomočjo našega lahko zagotovite varnost svojega računa.
Naše raziskave kažejo, da je ena najpreprostejših stvari, ki jih lahko naredite za zaščito svojega Google Računa, nastavitev telefonske številke. Za visoko tvegane uporabnike, kot so novinarji, skupnostni aktivisti, poslovni voditelji in skupine političnih kampanj, naš program bo pomagal zagotoviti najvišjo raven varnosti. Z namestitvijo razširitve lahko tudi zaščitite svoje račune, ki niso Googlovi, pred vdori v gesla .
Zanimivo je, da Google ne upošteva nasvetov, ki jih daje uporabnikom. za dvostopenjsko avtentikacijo za več kot 85 svojih zaposlenih. Po besedah predstavnikov korporacije od začetka uporabe strojnih žetonov ni bila zabeležena niti ena kraja računa. Primerjajte s številkami, predstavljenimi v tem poročilu. Tako je jasno, da uporaba strojne opreme žetoni za dvostopenjsko avtentikacijo edini zanesljiv način zaščite tako račune kot informacije (in v nekaterih primerih tudi denar).
Za zaščito Google računov uporabljamo na primer žetone, ustvarjene v skladu s standardom FIDO U2F . In za dvostopenjsko avtentikacijo v operacijskih sistemih Windows, Linux in MacOS, .
(Opomba prevajalca)
Vir: www.habr.com