Google yayınladı Bir hesap sahibinin suçlular tarafından çalınmasını önlemek için neler yapabileceği hakkında "Hesap hırsızlığını önlemede temel hesap hijyeni ne kadar etkilidir?" Bu çalışmanın bir çevirisini dikkatlerinize sunuyoruz.
Doğru, Google'ın bizzat kullandığı en etkili yöntem raporda yer almıyordu. Sonunda bu yöntem hakkında kendim yazmak zorunda kaldım.
Kullanıcıları her gün yüzbinlerce hesap hackleme girişiminden koruyoruz. üçüncü taraf şifre kırma sistemlerine erişimi olan otomatik botlardan geliyor ancak kimlik avı ve hedefli saldırılar da mevcut. Daha önce nasıl olduğunu anlattık Örneğin telefon numarası eklemek güvende kalmanıza yardımcı olabilir, ancak şimdi bunu pratikte kanıtlamak istiyoruz.
Kimlik avı saldırısı, kullanıcıyı, korsanlık sürecinde yararlı olacak bilgileri gönüllü olarak saldırgana vermesi için kandırma girişimidir. Örneğin yasal bir uygulamanın arayüzünü kopyalayarak.
Otomatik botların kullanıldığı saldırılar, belirli kullanıcıları hedef almayan büyük çaplı bilgisayar korsanlığı girişimleridir. Genellikle kamuya açık yazılım kullanılarak gerçekleştirilir ve eğitimsiz "kırıcılar" tarafından bile kullanılabilir. Saldırganlar belirli kullanıcıların özellikleri hakkında hiçbir şey bilmezler; yalnızca programı başlatırlar ve etraftaki zayıf korunan tüm bilimsel kayıtları "yakalarlar".
Hedefli saldırılar, her hesap ve sahibi hakkında ek bilgilerin toplandığı, trafiği durdurma ve analiz etme girişimlerinin yanı sıra daha karmaşık bilgisayar korsanlığı araçlarının kullanılmasının mümkün olduğu belirli hesapların hacklenmesidir.
(Çevirmenin notu)
Hesapların ele geçirilmesini önlemede temel hesap hijyeninin ne kadar etkili olduğunu bulmak için New York Üniversitesi ve Kaliforniya Üniversitesi'nden araştırmacılarla birlikte çalıştık.
Hakkında yıllık çalışma и Çarşamba günü uzmanlar, politika yapıcılar ve kullanıcılardan oluşan bir toplantıda sunuldu. .
Araştırmamız, Google hesabınıza yalnızca bir telefon numarası eklemenin, otomatik bot saldırılarının %100'ünü, toplu kimlik avı saldırılarının %99'unu ve araştırmamızdaki hedefli saldırıların %66'sını engelleyebileceğini gösteriyor.
Hesabın ele geçirilmesine karşı otomatik proaktif Google koruması
Tüm kullanıcılarımızı hesap korsanlığından daha iyi korumak için otomatik proaktif koruma uyguluyoruz. Şu şekilde çalışır: Şüpheli bir giriş denemesi tespit edersek (örneğin, yeni bir konumdan veya cihazdan), bu kişinin gerçekten siz olduğunuza dair ek kanıt isteriz. Bu onay, güvenilir bir telefon numarasına erişiminizin olduğunu doğrulamak veya doğru cevabını yalnızca sizin bildiğiniz bir soruyu yanıtlamak olabilir.
Telefonunuzda oturum açtıysanız veya hesap ayarlarınızda bir telefon numarası sağladıysanız, iki adımlı doğrulamayla aynı düzeyde güvenlik sağlayabiliriz. Kurtarma telefon numarasına gönderilen SMS kodunun, otomatik botların %100'ünün, toplu kimlik avı saldırılarının %96'sının ve hedefli saldırıların %76'sının engellenmesine yardımcı olduğunu bulduk. SMS'in yerine daha güvenli bir alternatif olan, bir işlemi onaylamaya yönelik cihaz istemleri, otomatik botların %100'ünün, toplu kimlik avı saldırılarının %99'unun ve hedefli saldırıların %90'ının önlenmesine yardımcı oldu.
Hem cihaz sahipliğine hem de belirli gerçeklere ilişkin bilgiye dayalı koruma, otomatik botlara karşı koymaya yardımcı olurken, cihaz sahipliği koruması kimlik avını ve hatta hedefli saldırıları önlemeye yardımcı olur.
Hesabınızda kayıtlı bir telefon numaranız yoksa, hesabınıza en son nerede giriş yaptığınız gibi hakkınızda bildiklerimize dayanarak daha zayıf güvenlik teknikleri kullanabiliriz. Bu, botlara karşı işe yarar ancak kimlik avına karşı koruma düzeyi %10'a düşebilir ve hedefli saldırılara karşı neredeyse hiç koruma yoktur. Bunun nedeni, kimlik avı sayfalarının ve hedeflenen saldırganların sizi Google'ın doğrulama için isteyebileceği ek bilgileri açıklamaya zorlayabilmesidir.
Bu tür bir korumanın faydaları göz önüne alındığında, neden her oturum açma işleminde buna ihtiyaç duymadığımız sorulabilir. Cevap, kullanıcılar için ek karmaşıklık yaratacağıdır (özellikle hazırlıksız olanlar için - yakl. tercüme.) ve hesabın askıya alınma riskini artırır. Deney, kullanıcıların %38'inin hesaplarına giriş yaparken telefonlarına erişimlerinin olmadığını ortaya çıkardı. Kullanıcıların diğer %34'ü ise ikincil e-posta adreslerini hatırlayamadı.
Telefonunuza erişimi kaybettiyseniz veya oturum açamıyorsanız, hesabınıza erişmek için istediğiniz zaman daha önce oturum açtığınız güvenilir cihaza geri dönebilirsiniz.
Kiralık hack saldırılarını anlama
Otomatik korumaların çoğu botları ve kimlik avı saldırılarını engellerken, hedefli saldırılar daha zararlı hale gelir. Devam eden çabalarımızın bir parçası olarak , sürekli olarak bir hesabı hacklemek için ortalama 750$ ücret alan yeni kiralık hacker grupları tespit ediyoruz. Bu saldırganlar genellikle aile üyelerinin, iş arkadaşlarının, devlet yetkililerinin ve hatta Google'ın kimliğine bürünen kimlik avı e-postalarına güveniyor. Hedef ilk phishing girişiminden vazgeçmezse sonraki saldırılar bir aydan fazla devam eder.
Bir parolanın doğruluğunu gerçek zamanlı olarak doğrulayan ortadaki adam kimlik avı saldırısına bir örnek. Kimlik avı sayfası daha sonra kurbanlardan, kurbanın hesabına erişmek için SMS kimlik doğrulama kodlarını girmelerini ister.
Milyon kullanıcıdan yalnızca birinin bu yüksek risk altında olduğunu tahmin ediyoruz. Saldırganlar rastgele insanları hedef almazlar. Araştırmalar, otomatik korumalarımızın incelediğimiz hedefli saldırıların %66'sına kadar geciktirilmesine ve hatta önlenmesine yardımcı olabileceğini gösterse de, yüksek riskli kullanıcıların yine de sitemize kaydolmalarını öneriyoruz. . Araştırmamız sırasında gözlemlediğimiz gibi, yalnızca güvenlik anahtarlarını kullanan kullanıcılar (yani kullanıcılara gönderilen kodları kullanan iki adımlı kimlik doğrulama - yaklaşık. tercüme), hedef odaklı kimlik avının kurbanı oldular.
Hesabınızı korumak için biraz zaman ayırın
Arabalarda seyahat ederken canınızı ve uzuvlarınızı korumak için emniyet kemerlerini kullanırsınız. Ve bizim yardımıyla hesabınızın güvenliğini sağlayabilirsiniz.
Araştırmamız, Google Hesabınızı korumak için yapabileceğiniz en kolay şeylerden birinin bir telefon numarası oluşturmak olduğunu gösteriyor. Gazeteciler, topluluk aktivistleri, iş dünyası liderleri ve siyasi kampanya ekipleri gibi yüksek riskli kullanıcılar için programımız en üst düzeyde güvenliğin sağlanmasına yardımcı olacaktır. Uzantıyı yükleyerek Google dışı hesaplarınızı şifre saldırılarına karşı da koruyabilirsiniz. .
Google'ın kullanıcılarına verdiği tavsiyelere uymaması ilginç. 85'den fazla çalışanı için iki faktörlü kimlik doğrulama için. Şirketin temsilcilerine göre, donanım tokenlarının kullanılmaya başlanmasından bu yana tek bir hesap hırsızlığı kaydedilmedi. Bu raporda sunulan rakamlarla karşılaştırın. Dolayısıyla donanım kullanımının jetonlar iki faktörlü kimlik doğrulama için korumanın tek güvenilir yolu hem hesaplar hem de bilgiler (ve bazı durumlarda da para).
Google hesaplarını korumak için FIDO U2F standardına göre oluşturulan jetonları kullanırız; örneğin . Windows, Linux ve MacOS işletim sistemlerinde iki faktörlü kimlik doğrulama için, .
(Çevirmenin notu)
Kaynak: habr.com