கூகுள் வெளியிட்டுள்ளது "கணக்குத் திருட்டைத் தடுப்பதில் அடிப்படைக் கணக்கு சுகாதாரம் எவ்வளவு பயனுள்ளதாக இருக்கும்" என்பது குற்றவாளிகளால் திருடப்படுவதைத் தடுக்க கணக்கு உரிமையாளர் என்ன செய்ய முடியும் என்பதைப் பற்றி. இந்த ஆய்வின் மொழிபெயர்ப்பை உங்கள் கவனத்திற்கு முன்வைக்கிறோம்.
உண்மை, கூகுளால் பயன்படுத்தப்படும் மிகவும் பயனுள்ள முறை, அறிக்கையில் சேர்க்கப்படவில்லை. இந்த முறையைப் பற்றி நானே இறுதியில் எழுத வேண்டியிருந்தது.
ஒவ்வொரு நாளும் நூறாயிரக்கணக்கான கணக்கு ஹேக்கிங் முயற்சிகளிலிருந்து பயனர்களைப் பாதுகாக்கிறோம். மூன்றாம் தரப்பு கடவுச்சொல் கிராக்கிங் அமைப்புகளுக்கான அணுகலுடன் தானியங்கி போட்களில் இருந்து வருகிறது, ஆனால் ஃபிஷிங் மற்றும் இலக்கு தாக்குதல்களும் உள்ளன. எப்படி என்று முன்பு சொன்னோம் , ஃபோன் எண்ணைச் சேர்ப்பது போன்றவை நீங்கள் பாதுகாப்பாக இருக்க உதவும், ஆனால் இப்போது அதை நடைமுறையில் நிரூபிக்க விரும்புகிறோம்.
ஃபிஷிங் அட்டாக் என்பது, ஹேக்கிங் செயல்பாட்டில் பயனுள்ளதாக இருக்கும் தாக்குபவருக்குத் தானாக முன்வந்து தகவல்களை வழங்குவதற்கு ஒரு பயனரை ஏமாற்றும் முயற்சியாகும். எடுத்துக்காட்டாக, சட்டப்பூர்வ விண்ணப்பத்தின் இடைமுகத்தை நகலெடுப்பதன் மூலம்.
தானியங்கு போட்களைப் பயன்படுத்தி தாக்குதல்கள் என்பது குறிப்பிட்ட பயனர்களை இலக்காகக் கொள்ளாத பாரிய ஹேக்கிங் முயற்சிகள் ஆகும். பொதுவாக பொதுவில் கிடைக்கும் மென்பொருளைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது மற்றும் பயிற்சி பெறாத "பட்டாசுகள்" கூட பயன்படுத்தலாம். குறிப்பிட்ட பயனர்களின் குணாதிசயங்களைப் பற்றி தாக்குபவர்களுக்கு எதுவும் தெரியாது - அவர்கள் வெறுமனே நிரலைத் தொடங்கி, மோசமாகப் பாதுகாக்கப்பட்ட அனைத்து அறிவியல் பதிவுகளையும் "பிடிப்பார்கள்".
இலக்கு தாக்குதல்கள் என்பது குறிப்பிட்ட கணக்குகளை ஹேக்கிங் செய்வதாகும், இதில் ஒவ்வொரு கணக்கு மற்றும் அதன் உரிமையாளரைப் பற்றிய கூடுதல் தகவல்கள் சேகரிக்கப்படுகின்றன, போக்குவரத்தை இடைமறித்து பகுப்பாய்வு செய்யும் முயற்சிகள் மற்றும் மிகவும் சிக்கலான ஹேக்கிங் கருவிகளைப் பயன்படுத்துவது சாத்தியமாகும்.
(மொழிபெயர்ப்பாளரின் குறிப்பு)
கணக்கு கடத்தலைத் தடுப்பதில் அடிப்படை கணக்கு சுகாதாரம் எவ்வளவு பயனுள்ளதாக இருக்கும் என்பதைக் கண்டறிய, நியூயார்க் பல்கலைக்கழகம் மற்றும் கலிபோர்னியா பல்கலைக்கழக ஆராய்ச்சியாளர்களுடன் நாங்கள் இணைந்தோம்.
பற்றி ஆண்டு ஆய்வு и என்று அழைக்கப்படும் நிபுணர்கள், கொள்கை வகுப்பாளர்கள் மற்றும் பயனர்களின் கூட்டத்தில் புதன்கிழமை வழங்கப்பட்டது .
உங்கள் Google கணக்கில் ஃபோன் எண்ணைச் சேர்ப்பதன் மூலம் 100% தானியங்கி போட் தாக்குதல்கள், 99% மொத்த ஃபிஷிங் தாக்குதல்கள் மற்றும் 66% இலக்கு தாக்குதல்களைத் தடுக்கலாம் என்று எங்கள் ஆராய்ச்சி காட்டுகிறது.
கணக்கு அபகரிப்புக்கு எதிரான தானியங்கு முன்முயற்சி Google பாதுகாப்பு
கணக்கு ஹேக்கிங்கில் இருந்து எங்கள் பயனர்கள் அனைவரையும் சிறப்பாகப் பாதுகாக்க, தானியங்கு செயலூக்கப் பாதுகாப்பை நாங்கள் செயல்படுத்துகிறோம். இது எப்படி வேலை செய்கிறது: சந்தேகத்திற்கிடமான உள்நுழைவு முயற்சியை நாங்கள் கண்டறிந்தால் (உதாரணமாக, புதிய இடம் அல்லது சாதனத்திலிருந்து), அது உண்மையில் நீங்கள்தான் என்பதற்கான கூடுதல் ஆதாரத்தை நாங்கள் கேட்போம். இந்த உறுதிப்படுத்தல் நம்பகமான ஃபோன் எண்ணுக்கான அணுகலைச் சரிபார்ப்பது அல்லது சரியான பதில் உங்களுக்கு மட்டுமே தெரிந்த கேள்விக்கு பதிலளிப்பதாக இருக்கலாம்.
நீங்கள் உங்கள் மொபைலில் உள்நுழைந்திருந்தால் அல்லது உங்கள் கணக்கு அமைப்புகளில் ஃபோன் எண்ணை வழங்கினால், இரண்டு-படி சரிபார்ப்பின் அதே அளவிலான பாதுகாப்பை நாங்கள் வழங்க முடியும். மீட்பு ஃபோன் எண்ணுக்கு அனுப்பப்பட்ட எஸ்எம்எஸ் குறியீடு 100% தானியங்கி போட்களையும், 96% மொத்த ஃபிஷிங் தாக்குதல்களையும், 76% இலக்கு தாக்குதல்களையும் தடுக்க உதவியது என்பதைக் கண்டறிந்தோம். மேலும் ஒரு பரிவர்த்தனையை உறுதிசெய்ய சாதனம் தூண்டுகிறது, SMSக்கு மிகவும் பாதுகாப்பான மாற்றாக, 100% தானியங்கி போட்களையும், 99% வெகுஜன ஃபிஷிங் தாக்குதல்களையும், 90% இலக்கு தாக்குதல்களையும் தடுக்க உதவியது.
சாதன உரிமை மற்றும் சில உண்மைகள் பற்றிய அறிவு ஆகிய இரண்டின் அடிப்படையிலான பாதுகாப்பு தானியங்கு போட்களை எதிர்கொள்ள உதவுகிறது, அதே நேரத்தில் சாதன உரிமை பாதுகாப்பு ஃபிஷிங் மற்றும் இலக்கு தாக்குதல்களைத் தடுக்க உதவுகிறது.
உங்கள் கணக்கில் ஃபோன் எண் அமைக்கப்படவில்லை எனில், உங்கள் கணக்கில் நீங்கள் கடைசியாக உள்நுழைந்த இடம் போன்ற, உங்களைப் பற்றி எங்களுக்குத் தெரிந்தவற்றின் அடிப்படையில் பலவீனமான பாதுகாப்பு நுட்பங்களைப் பயன்படுத்துவோம். இது போட்களுக்கு எதிராக நன்றாக வேலை செய்கிறது, ஆனால் ஃபிஷிங்கிற்கு எதிரான பாதுகாப்பின் அளவு 10% ஆக குறையும், மேலும் இலக்கு தாக்குதல்களுக்கு எதிராக எந்த பாதுகாப்பும் இல்லை. ஏனென்றால், ஃபிஷிங் பக்கங்கள் மற்றும் இலக்கு தாக்குபவர்கள் Google சரிபார்ப்புக்காகக் கேட்கும் கூடுதல் தகவலை வெளிப்படுத்தும்படி உங்களை கட்டாயப்படுத்தலாம்.
அத்தகைய பாதுகாப்பின் பலன்களைக் கருத்தில் கொண்டு, ஒவ்வொரு உள்நுழைவுக்கும் ஏன் இது தேவையில்லை என்று ஒருவர் கேட்கலாம். பதில் இது பயனர்களுக்கு கூடுதல் சிக்கலை உருவாக்கும் (குறிப்பாக ஆயத்தமில்லாதவர்களுக்கு - தோராயமாக. மொழிபெயர்ப்பு.) மற்றும் கணக்கு இடைநிறுத்தப்படும் அபாயத்தை அதிகரிக்கும். 38% பயனர்கள் தங்கள் கணக்கில் உள்நுழையும்போது அவர்களின் தொலைபேசியை அணுகவில்லை என்று சோதனை கண்டறிந்துள்ளது. மற்றொரு 34% பயனர்கள் தங்கள் இரண்டாம் மின்னஞ்சல் முகவரியை நினைவில் கொள்ள முடியவில்லை.
உங்கள் மொபைலுக்கான அணுகலை இழந்தாலோ அல்லது உள்நுழைய முடியாமலோ இருந்தால், உங்கள் கணக்கை அணுகுவதற்கு நீங்கள் முன்பு உள்நுழைந்த நம்பகமான சாதனத்திற்கு எப்போது வேண்டுமானாலும் திரும்பலாம்.
ஹேக்-க்கு-ஹைர் தாக்குதல்களைப் புரிந்துகொள்வது
பெரும்பாலான தானியங்கி பாதுகாப்புகள் பெரும்பாலான போட்கள் மற்றும் ஃபிஷிங் தாக்குதல்களைத் தடுக்கும் இடங்களில், இலக்கு தாக்குதல்கள் அதிக சேதத்தை ஏற்படுத்துகின்றன. எங்களின் தொடர்ச்சியான முயற்சிகளின் ஒரு பகுதியாக , ஒரு கணக்கை ஹேக் செய்ய சராசரியாக $750 வசூலிக்கும் புதிய கிரிமினல் ஹேக்கிங்-க்கு-ஹைர் குழுக்களை நாங்கள் தொடர்ந்து அடையாளம் கண்டு வருகிறோம். இந்தத் தாக்குபவர்கள் பெரும்பாலும் குடும்ப உறுப்பினர்கள், சக பணியாளர்கள், அரசு அதிகாரிகள் அல்லது கூகுள் போல ஆள்மாறாட்டம் செய்யும் ஃபிஷிங் மின்னஞ்சல்களை நம்பியிருக்கிறார்கள். முதல் ஃபிஷிங் முயற்சியை இலக்கு கைவிடவில்லை என்றால், அடுத்தடுத்த தாக்குதல்கள் ஒரு மாதத்திற்கும் மேலாக தொடரும்.
உண்மையான நேரத்தில் கடவுச்சொல்லின் சரியான தன்மையை சரிபார்க்கும் மேன்-இன்-தி-மிடில் ஃபிஷிங் தாக்குதலின் எடுத்துக்காட்டு. ஃபிஷிங் பக்கம், பாதிக்கப்பட்டவரின் கணக்கை அணுக, SMS அங்கீகாரக் குறியீடுகளை உள்ளிடுமாறு பாதிக்கப்பட்டவர்களைத் தூண்டுகிறது.
ஒரு மில்லியன் பயனர்களில் ஒருவர் மட்டுமே இந்த அபாயத்தில் இருப்பதாக மதிப்பிடுகிறோம். தாக்குபவர்கள் தற்செயலான நபர்களை குறிவைக்க மாட்டார்கள். நாங்கள் ஆய்வு செய்த இலக்கு தாக்குதல்களில் 66% வரை தாமதப்படுத்தவும் தடுக்கவும் எங்களின் தானியங்குப் பாதுகாப்புகள் உதவும் என்று ஆராய்ச்சி காட்டினாலும், அதிக ஆபத்துள்ள பயனர்கள் எங்களிடம் பதிவு செய்யுமாறு பரிந்துரைக்கிறோம். . எங்கள் விசாரணையின் போது, பாதுகாப்பு விசைகளை பிரத்தியேகமாக பயன்படுத்தும் பயனர்கள் (அதாவது, பயனர்களுக்கு அனுப்பப்படும் குறியீடுகளைப் பயன்படுத்தி இரண்டு-படி அங்கீகாரம் - தோராயமாக. மொழிபெயர்ப்பு), ஈட்டி ஃபிஷிங்கிற்கு பலியாகிவிட்டனர்.
உங்கள் கணக்கைப் பாதுகாக்க சிறிது நேரம் ஒதுக்குங்கள்
கார்களில் பயணம் செய்யும் போது உயிரையும், கால்களையும் பாதுகாக்க சீட் பெல்ட்களைப் பயன்படுத்துகிறீர்கள். மற்றும் எங்கள் உதவியுடன் உங்கள் கணக்கின் பாதுகாப்பை நீங்கள் உறுதிப்படுத்திக் கொள்ளலாம்.
உங்கள் Google கணக்கைப் பாதுகாக்க நீங்கள் செய்யக்கூடிய எளிதான செயல்களில் ஒன்று ஃபோன் எண்ணை அமைப்பது என்பதை எங்கள் ஆராய்ச்சி காட்டுகிறது. பத்திரிகையாளர்கள், சமூக ஆர்வலர்கள், வணிகத் தலைவர்கள் மற்றும் அரசியல் பிரச்சாரக் குழுக்கள் போன்ற அதிக ஆபத்துள்ள பயனர்களுக்கு, எங்கள் திட்டம் மிக உயர்ந்த பாதுகாப்பை உறுதிப்படுத்த உதவும். நீட்டிப்பை நிறுவுவதன் மூலம் உங்கள் Google அல்லாத கணக்குகளை கடவுச்சொல் ஹேக்கிலிருந்து பாதுகாக்கலாம் .
கூகுள் தனது பயனர்களுக்கு வழங்கும் அறிவுரைகளைப் பின்பற்றவில்லை என்பது சுவாரஸ்யமானது. 85 க்கும் மேற்பட்ட ஊழியர்களுக்கு இரு காரணி அங்கீகாரத்திற்காக. கார்ப்பரேஷன் பிரதிநிதிகளின் கூற்றுப்படி, ஹார்டுவேர் டோக்கன்களைப் பயன்படுத்தத் தொடங்கியதிலிருந்து, ஒரு கணக்கு திருட்டு கூட பதிவு செய்யப்படவில்லை. இந்த அறிக்கையில் கொடுக்கப்பட்டுள்ள புள்ளிவிவரங்களுடன் ஒப்பிடுக. இதனால் ஹார்டுவேரின் பயன்பாடு தெளிவாகிறது டோக்கன்கள் இரண்டு காரணி அங்கீகாரத்திற்காக பாதுகாக்க ஒரே நம்பகமான வழி கணக்குகள் மற்றும் தகவல் (மற்றும் சில சந்தர்ப்பங்களில் பணம் கூட).
Google கணக்குகளைப் பாதுகாக்க, எடுத்துக்காட்டாக, FIDO U2F தரநிலையின்படி உருவாக்கப்பட்ட டோக்கன்களைப் பயன்படுத்துகிறோம் . மற்றும் Windows, Linux மற்றும் MacOS இயக்க முறைமைகளில் இரண்டு காரணி அங்கீகாரத்திற்காக, .
(மொழிபெயர்ப்பாளரின் குறிப்பு)
ஆதாரம்: www.habr.com