Гугл је објавио „Колико је ефикасна основна хигијена налога у спречавању крађе налога“ о томе шта власник налога може да уради да спречи да га криминалци украду. Представљамо Вашој пажњи превод ове студије.
Истина, најефикаснији метод, који користи сам Гугл, није укључен у извештај. Морао сам и сам да пишем о овој методи на крају.
Свакодневно штитимо кориснике од стотина хиљада покушаја хаковања налога. долази од аутоматизованих ботова са приступом системима за разбијање лозинки трећих страна, али су присутни и пхисхинг и циљани напади. Претходно смо рекли како , као што је додавање броја телефона, може вам помоћи да останете безбедни, али сада желимо да то докажемо у пракси.
Фишинг напад је покушај да се превари корисник да добровољно да нападачу информације које ће бити корисне у процесу хаковања. На пример, копирањем интерфејса правне апликације.
Напади коришћењем аутоматизованих ботова су масовни покушаји хаковања који нису усмерени на одређене кориснике. Обично се спроводи коришћењем јавно доступног софтвера и могу га користити чак и необучени „крекери“. Нападачи не знају ништа о карактеристикама одређених корисника - они једноставно покрећу програм и „хватају“ све лоше заштићене научне записе около.
Циљани напади су хаковање одређених налога, при чему се прикупљају додатне информације о сваком налогу и његовом власнику, могући су покушаји пресретања и анализе саобраћаја, као и употреба сложенијих хакерских алата.
(Напомена преводиоца)
Удружили смо се са истраживачима са Универзитета у Њујорку и Универзитета у Калифорнији да бисмо сазнали колико је ефикасна основна хигијена налога у спречавању отмице налога.
Годишња студија о и представљен је у среду на састанку експерата, креатора политике и корисника тзв .
Наше истраживање показује да једноставно додавање броја телефона на ваш Гоогле налог може блокирати до 100% аутоматизованих напада ботовима, 99% масовних пхисхинг напада и 66% циљаних напада у нашој истрази.
Аутоматска проактивна Гоогле заштита од отмице налога
Примењујемо аутоматску проактивну заштиту како бисмо боље заштитили све наше кориснике од хаковања налога. Ево како то функционише: Ако откријемо сумњив покушај пријављивања (на пример, са нове локације или уређаја), тражићемо додатни доказ да сте то заиста ви. Ова потврда може бити потврда да имате приступ поузданом броју телефона или одговарање на питање на које само ви знате тачан одговор.
Ако сте пријављени на свој телефон или сте навели број телефона у подешавањима налога, можемо да обезбедимо исти ниво безбедности као верификација у два корака. Открили смо да је СМС код послат на број телефона за опоравак помогао да се блокира 100% аутоматизованих ботова, 96% масовних пхисхинг напада и 76% циљаних напада. А упити уређаја за потврду трансакције, безбеднија замена за СМС, помогли су да се спречи 100% аутоматизованих ботова, 99% масовних пхисхинг напада и 90% циљаних напада.
Заштита заснована на власништву уређаја и познавању одређених чињеница помаже у сузбијању аутоматизованих ботова, док заштита власништва уређаја помаже у спречавању пхисхинга, па чак и циљаних напада.
Ако немате подешен број телефона на свом налогу, можда ћемо користити слабије безбедносне технике на основу онога што знамо о вама, на пример где сте се последњи пут пријавили на налог. Ово добро функционише против ботова, али ниво заштите од пхисхинга може пасти на 10%, а практично не постоји заштита од циљаних напада. То је зато што странице за „пецање“ и циљани нападачи могу да вас натерају да откријете све додатне информације које Гоогле може да затражи за верификацију.
С обзиром на предности такве заштите, неко би могао да се запита зашто је не захтевамо за свако пријављивање. Одговор је да би то створило додатну сложеност за кориснике (посебно за неспремне – цца. превод.) и повећао би ризик од суспензије налога. Експеримент је открио да 38% корисника није имало приступ свом телефону приликом пријављивања на свој налог. Још 34% корисника није могло да се сети своје секундарне адресе е-поште.
Ако сте изгубили приступ телефону или не можете да се пријавите, увек можете да се вратите на поуздани уређај са којег сте се претходно пријавили да бисте приступили свом налогу.
Разумевање хацк-фор-хире напада
Тамо где већина аутоматизованих заштита блокира већину ботова и пхисхинг напада, циљани напади постају штетнији. Као део наших сталних напора да , стално идентификујемо нове криминалне групе за хаковање за изнајмљивање које у просеку наплаћују 750 долара за хаковање једног налога. Ови нападачи се често ослањају на „пецање“ имејлова у којима се лажно представљају чланови породице, колеге, државни службеници или чак Гоогле. Ако мета не одустане од првог покушаја пхисхинга, следећи напади се настављају дуже од месец дана.
Пример фишинг напада „човека у средини“ који проверава тачност лозинке у реалном времену. Страница за пхисхинг затим тражи од жртава да унесу СМС кодове за аутентификацију како би приступили налогу жртве.
Процењујемо да је само један од милион корисника изложен овом високом ризику. Нападачи не циљају случајне људе. Иако истраживања показују да наше аутоматизоване заштите могу помоћи да се одложи, па чак и спречи до 66% циљаних напада које смо проучавали, и даље препоручујемо да се високоризични корисници региструју код нашег . Као што је уочено током наше истраге, корисници који користе искључиво безбедносне кључеве (односно аутентификација у два корака коришћењем кодова послатих корисницима – цца. превод), постали су жртве спеар пхисхинга.
Одвојите мало времена да заштитите свој налог
Користите сигурносне појасеве да бисте заштитили живот и тело док путујете у аутомобилу. И уз помоћ наших можете осигурати сигурност свог налога.
Наше истраживање показује да је једна од најлакших ствари које можете да урадите да заштитите свој Гоогле налог да подесите број телефона. За високоризичне кориснике као што су новинари, активисти заједнице, пословни лидери и тимови политичких кампања, наш програм ће помоћи да се обезбеди највиши ниво безбедности. Такође можете да заштитите своје налоге који нису Гоогле од хаковања лозинки тако што ћете инсталирати проширење .
Занимљиво је да Гугл не следи савете које даје својим корисницима. за двофакторску аутентификацију за више од 85 запослених. Према речима представника корпорације, од почетка коришћења хардверских токена није забележена ниједна крађа налога. Упоредите са цифрама представљеним у овом извештају. Тако је јасно да употреба хардвера жетони за двофакторску аутентификацију једини поуздан начин заштите и рачуне и информације (а у неким случајевима и новац).
За заштиту Гоогле налога користе се, на пример, токени креирани према стандарду ФИДО У2Ф . А за двофакторску аутентификацију у оперативним системима Виндовс, Линук и МацОС, .
(Напомена преводиоца)
Извор: ввв.хабр.цом