Na-publish na ng Google "Gaano kabisa ang pangunahing kalinisan ng account sa pagpigil sa pagnanakaw ng account" tungkol sa kung ano ang maaaring gawin ng isang may-ari ng account upang maiwasan itong manakaw ng mga kriminal. Inihahandog namin sa iyong atensyon ang isang pagsasalin ng pag-aaral na ito.
Totoo, ang pinaka-epektibong paraan, na ginagamit mismo ng Google, ay hindi kasama sa ulat. Kinailangan kong magsulat tungkol sa pamamaraang ito sa aking sarili sa dulo.
Araw-araw ay pinoprotektahan namin ang mga user mula sa daan-daang libong mga pagtatangka sa pag-hack ng account. ay mula sa mga automated na bot na may access sa mga third-party na password cracking system, ngunit naroroon din ang phishing at mga naka-target na pag-atake. Dati sinabi namin kung paano , tulad ng pagdaragdag ng numero ng telepono, ay makakatulong sa iyong manatiling ligtas, ngunit ngayon ay gusto naming patunayan ito sa pagsasanay.
Ang pag-atake ng phishing ay isang pagtatangka na linlangin ang isang user na kusang-loob na magbigay sa umaatake ng impormasyon na magiging kapaki-pakinabang sa proseso ng pag-hack. Halimbawa, sa pamamagitan ng pagkopya sa interface ng isang legal na aplikasyon.
Ang mga pag-atake gamit ang mga automated na bot ay napakalaking pagtatangka sa pag-hack na hindi naglalayon sa mga partikular na user. Karaniwang isinasagawa gamit ang software na magagamit sa publiko at maaaring gamitin kahit ng mga hindi sanay na "crackers". Walang alam ang mga attacker tungkol sa mga katangian ng mga partikular na user - inilulunsad lang nila ang programa at "nahuhuli" ang lahat ng hindi gaanong pinoprotektahang siyentipikong mga tala sa paligid.
Ang mga naka-target na pag-atake ay ang pag-hack ng mga partikular na account, kung saan ang karagdagang impormasyon ay nakolekta tungkol sa bawat account at ang may-ari nito, ang mga pagtatangka na maharang at suriin ang trapiko, pati na rin ang paggamit ng mas kumplikadong mga tool sa pag-hack ay posible.
(Tala ng Tagasalin)
Nakipagtulungan kami sa mga mananaliksik mula sa New York University at University of California upang malaman kung gaano kabisa ang pangunahing kalinisan ng account sa pagpigil sa pag-hijack ng account.
Taunang pag-aaral tungkol sa ΠΈ ay iniharap noong Miyerkules sa isang pulong ng mga eksperto, policymakers at user na tinawag .
Ipinapakita ng aming pananaliksik na ang pagdaragdag lang ng numero ng telepono sa iyong Google account ay maaaring mag-block ng hanggang 100% ng mga awtomatikong pag-atake ng bot, 99% ng maramihang pag-atake sa phishing, at 66% ng mga naka-target na pag-atake sa aming pagsisiyasat.
Awtomatikong proactive na proteksyon ng Google laban sa pag-hijack ng account
Nagpapatupad kami ng awtomatikong proactive na proteksyon upang mas maprotektahan ang lahat ng aming mga user mula sa pag-hack ng account. Narito kung paano ito gumagana: Kung may nakita kaming kahina-hinalang pagtatangka sa pag-log in (halimbawa, mula sa isang bagong lokasyon o device), hihingi kami ng karagdagang patunay na ikaw talaga iyon. Ang kumpirmasyong ito ay maaaring pag-verify na mayroon kang access sa isang pinagkakatiwalaang numero ng telepono, o pagsagot sa isang tanong kung saan ikaw lang ang nakakaalam ng tamang sagot.
Kung naka-sign in ka sa iyong telepono o nagbigay ng numero ng telepono sa mga setting ng iyong account, maaari kaming magbigay ng parehong antas ng seguridad gaya ng two-step na pag-verify. Nalaman namin na ang isang SMS code na ipinadala sa isang numero ng telepono sa pagbawi ay nakatulong sa pagharang sa 100% ng mga automated na bot, 96% ng maramihang pag-atake sa phishing, at 76% ng mga naka-target na pag-atake. At ang mga prompt ng device na kumpirmahin ang isang transaksyon, isang mas secure na kapalit para sa SMS, ay tumulong na maiwasan ang 100% ng mga automated na bot, 99% ng malawakang pag-atake sa phishing, at 90% ng mga naka-target na pag-atake.
Ang proteksyon batay sa parehong pagmamay-ari ng device at kaalaman sa ilang partikular na katotohanan ay nakakatulong na kontrahin ang mga automated na bot, habang ang proteksyon sa pagmamay-ari ng device ay nakakatulong na maiwasan ang phishing at maging ang mga naka-target na pag-atake.
Kung wala kang naka-set up na numero ng telepono sa iyong account, maaari kaming gumamit ng mas mahihinang diskarte sa seguridad batay sa kung ano ang alam namin tungkol sa iyo, gaya ng kung saan ka huling nag-log in sa iyong account. Ito ay mahusay na gumagana laban sa mga bot, ngunit ang antas ng proteksyon laban sa phishing ay maaaring bumaba sa 10%, at halos walang proteksyon laban sa mga naka-target na pag-atake. Ito ay dahil maaaring pilitin ka ng mga pahina ng phishing at mga naka-target na umaatake na ipakita ang anumang karagdagang impormasyon na maaaring hilingin ng Google para sa pag-verify.
Dahil sa mga benepisyo ng naturang proteksyon, maaaring magtanong kung bakit hindi namin ito kailangan para sa bawat pag-login. Ang sagot ay lilikha ito ng karagdagang kumplikado para sa mga gumagamit (lalo na para sa hindi handa - approx. pagsasalin.) at madaragdagan ang panganib ng pagsususpinde ng account. Nalaman ng eksperimento na 38% ng mga user ay walang access sa kanilang telepono kapag nagla-log in sa kanilang account. Ang isa pang 34% ng mga gumagamit ay hindi matandaan ang kanilang pangalawang email address.
Kung nawalan ka ng access sa iyong telepono o hindi makapag-sign in, maaari kang bumalik anumang oras sa pinagkakatiwalaang device kung saan ka dati nag-sign in upang ma-access ang iyong account.
Pag-unawa sa mga pag-atake ng hack-for-hire
Kung saan hinaharangan ng karamihan sa mga automated na proteksyon ang karamihan sa mga pag-atake ng bot at phishing, ang mga naka-target na pag-atake ay nagiging mas nakakapinsala. Bilang bahagi ng aming patuloy na pagsisikap na , patuloy kaming nagtutukoy ng mga bagong grupo ng kriminal na hacking-for-hire na naniningil ng average na $750 para i-hack ang isang account. Ang mga attacker na ito ay kadalasang umaasa sa mga phishing na email na nagpapanggap bilang mga miyembro ng pamilya, kasamahan, opisyal ng gobyerno, o maging sa Google. Kung hindi susuko ang target sa unang pagtatangka sa phishing, magpapatuloy ang mga kasunod na pag-atake nang higit sa isang buwan.
Isang halimbawa ng man-in-the-middle phishing attack na nagbe-verify ng tama ng isang password sa real time. Ang pahina ng phishing ay nag-uudyok sa mga biktima na magpasok ng mga SMS authentication code upang ma-access ang account ng biktima.
Tinatantya namin na isa lang sa isang milyong user ang nasa mataas na panganib na ito. Ang mga umaatake ay hindi nagta-target ng mga random na tao. Bagama't ipinapakita ng pananaliksik na ang aming mga awtomatikong proteksyon ay maaaring makatulong sa pagkaantala at kahit na maiwasan ang hanggang 66% ng mga naka-target na pag-atake na aming pinag-aralan, inirerekomenda pa rin namin na ang mga user na may mataas na peligro ay magparehistro sa aming . Gaya ng naobserbahan sa aming pagsisiyasat, ang mga user na eksklusibong gumagamit ng mga security key (ibig sabihin, dalawang-hakbang na pagpapatotoo gamit ang mga code na ipinadala sa mga user - tinatayang. pagsasalin), ay naging biktima ng spear phishing.
Maglaan ng kaunting oras upang protektahan ang iyong account
Gumagamit ka ng mga seat belt para protektahan ang buhay at paa habang naglalakbay sa mga sasakyan. At sa tulong ng aming masisiguro mo ang seguridad ng iyong account.
Ipinapakita ng aming pananaliksik na ang isa sa pinakamadaling bagay na maaari mong gawin upang protektahan ang iyong Google Account ay ang pag-set up ng numero ng telepono. Para sa mga user na may mataas na panganib tulad ng mga mamamahayag, aktibista sa komunidad, mga pinuno ng negosyo at mga pangkat ng kampanyang pampulitika, ang aming programa ay makakatulong na matiyak ang pinakamataas na antas ng seguridad. Mapoprotektahan mo rin ang iyong mga hindi Google account mula sa mga hack ng password sa pamamagitan ng pag-install ng extension .
Nakakatuwang hindi sinusunod ng Google ang payo na ibinibigay nito sa mga user nito. para sa two-factor authentication para sa higit sa 85 ng mga empleyado nito. Ayon sa mga kinatawan ng korporasyon, mula nang magsimula ang paggamit ng mga token ng hardware, wala ni isang pagnanakaw ng account ang naitala. Ihambing sa mga figure na ipinakita sa ulat na ito. Kaya ito ay malinaw na ang paggamit ng hardware mga token para sa two-factor authentication ang tanging maaasahang paraan upang maprotektahan parehong mga account at impormasyon (at sa ilang mga kaso din ng pera).
Upang protektahan ang mga Google account, gumagamit kami ng mga token na ginawa ayon sa pamantayan ng FIDO U2F, halimbawa . At para sa two-factor authentication sa Windows, Linux at MacOS operating system, .
(Tala ng Tagasalin)
Pinagmulan: www.habr.com