Google опублікувала «Наскільки ефективна базова гігієна облікового запису для запобігання її крадіжці» про те, що може зробити власник облікового запису, щоб її не вкрали зловмисники. Пропонуємо до вашої уваги переклад цього дослідження.
Щоправда, найефективніший спосіб, який використовується в самій Google, до звіту не включили. Довелося мені самому написати про цей спосіб наприкінці.
Щодня ми захищаємо користувачів від сотень тисяч спроб злому акаунтів. виходить від автоматичних ботів з доступом до сторонніх систем злому паролів, але також є фішингові та цільові атаки. Раніше ми розповідали, як , таких як додавання телефонного номера, можуть допомогти вам убезпечити себе, але тепер ми хочемо довести це на практиці.
Фішингова атака - спроба обдурити користувача таким чином, щоб він добровільно передав зловмиснику інформацію, яка буде корисною в процесі злому. Наприклад, копіювання інтерфейсу легальної програми.
Атаки за допомогою автоматичних ботів - масові спроби злому не спрямовані на конкретних користувачів. Зазвичай здійснюються за допомогою загальнодоступного програмного забезпечення та доступні для використання навіть непідготовленим «зломникам». Зловмисники нічого не знають про особливості конкретних користувачів — вони просто запускають програму та «ловлять» усі погано захищені науковці навколо.
Цільові атаки - зломи конкретних облікових записів, при яких про кожну облік і її власника збирається додаткова інформація, можливі спроби перехоплення та аналізу трафіку, а також застосування складніших інструментів злому.
(Примітка перекладача)
Ми об'єдналися з дослідниками з New York University та University of California, щоб з'ясувати, наскільки ефективно базова гігієна облікових записів запобігає їхнім «викраденням».
Річне дослідження про и було представлено в середу на зборах експертів, політиків та користувачів під назвою .
Наші дослідження показують, що просте додавання номера телефону до вашого облікового запису Google може блокувати до 100% атак від автоматичних ботів, 99% масових фішингових атак і 66% цільових атак, які мали місце під час нашого розслідування.
Автоматичний проактивний захист Google від «викрадення» облікового запису
Ми реалізуємо автоматичний проактивний захист, щоб краще убезпечити всіх наших користувачів від злому облікового запису. Ось як це працює: якщо ми виявимо підозрілу спробу входу (наприклад, з нового місця чи пристрою), ми попросимо додаткові докази того, що це справді ви. Цим підтвердженням може бути контроль того, що ви маєте доступ до довіреного телефону, або відповідь на запитання, на яке тільки ви знаєте правильну відповідь.
Якщо ви увійшли до свого телефону або вказали номер телефону у параметрах облікового запису, ми можемо забезпечити такий самий рівень захисту, як і за допомогою двоетапної перевірки. Ми виявили, що SMS-код, відправлений на номер телефону для відновлення, допоміг заблокувати 100% автоматичних ботів, 96% масових фішингових атак і 76% цільових атак. А запити на пристрої з вимогою підтвердити операцію, що є безпечнішою заміною SMS, допомогли запобігти 100% автоматичних ботів, 99% масових фішингових атак і 90% цільових атак.
Захист, заснований як на володінні певними пристроями, так і на знанні певних фактів, допомагає протистояти автоматичним ботам, а захист, заснований на володінні певними пристроями — для запобігання фішингу і навіть цільовим атакам.
Якщо у вашому обліковому записі не налаштовано номер телефону, ми можемо вдатися до більш слабких методів захисту, які базуються на знаннях про вас, таких як місце вашого останнього входу до облікового запису. Це добре працює проти ботів, але рівень захисту від фішингу може впасти до 10%, а від цільових атак захист практично відсутні. Це відбувається тому, що фішингові сторінки та зловмисники під час цільових атак можуть змусити вас розкрити будь-яку додаткову інформацію, яку може запросити Google для перевірки.
З огляду на переваги такого захисту можна було б запитати, чому ми не вимагаємо використовувати його для кожного входу в систему. Відповідь полягає в тому, що це створило б додаткові труднощі для користувачів (особливо для непідготовлених - прим. перев..) і підвищило б ризик блокування облікового запису. В ході експерименту з'ясувалося, що 38% користувачів не мали доступу до свого телефону під час входу до облікового запису. Ще 34% користувачів не змогли згадати свою додаткову адресу електронної пошти.
Якщо ви втратили доступ до свого телефону або не можете здійснити вхід, ви завжди можете повернутися до довіреного пристрою, з якого ви раніше входили, щоб отримати доступ до свого облікового запису.
Розбираємось в атаках «зламати за наймом»
Там, де більшість автоматичних засобів захисту блокують більшість ботів та фішингових атак, згубнішими стають цільові атаки. В рамках наших постійних зусиль з Ми постійно виявляємо нові кримінальні групи «злому за наймом», які просять за злом одного акаунту за в середньому 750 доларів США. Ці зловмисники часто покладаються на фішингові електронні листи, які видають себе за членів сім'ї, колег, урядовців або навіть Google. Якщо ціль не здається при першій спробі фішингу, наступні атаки продовжуються більше місяця.
Приклад фішинг-атаки "людина посередині", яка перевіряє правильність пароля в режимі реального часу. Після цього на фішинговій сторінці пропонується жертвам ввести коди автентифікації SMS для доступу до облікового запису жертви.
За нашими оцінками, лише один з мільйонів користувачів наражається на такий високий ризик. Зловмисники не орієнтовані на випадкових людей. Хоча дослідження показують, що наш автоматичний захист може допомогти затримати і навіть запобігти 66% цільових атак, які ми вивчали, ми, як і раніше, рекомендуємо, щоб користувачі з високим рівнем ризику реєструвалися в нашій . Як було відмічено під час нашого розслідування, користувачі, які використовують виключно ключі безпеки (тобто - двоетапну автентифікацію за допомогою кодів, що надсилаються користувачам - прим. перев.), стали жертвами цільового фішингу.
Витратьте трохи часу, щоб захистити свій обліковий запис
Ви використовуєте ремені безпеки для захисту життя та здоров'я під час поїздок в автомобілі. І за допомогою наших ви зможете забезпечити безпеку свого облікового запису.
Як показують наші дослідження, одна з найпростіших речей, які ви можете зробити для захисту свого облікового запису Google, - це задати номер телефону. Для користувачів з високим рівнем ризику, таких як журналісти, громадські активісти, лідери бізнесу та команди політичних кампаній, наша програма допоможе забезпечити найвищий рівень безпеки. Ви також можете захистити свої облікові записи сторонніх сервісів (не Google) від зламування паролів, встановивши розширення .
Цікаво, що Google не слідує тим порадам, які сам же дає своїм користувачам. для двофакторної автентифікації понад 85 000 своїх співробітників. За повідомленнями представників корпорації з початку використання апаратних токенів був зафіксовано жодної крадіжки облікового запису. Порівняйте з цифрами, наведеними в цьому звіті. Таким чином видно, що використання апаратних токенів для двофакторної аутентифікації єдиний надійний спосіб захисту як облікових записів, і інформації (а часом ще й грошей).
Для захисту облікових записів Google використовуються токени, створені за стандартом FIDO U2F, наприклад . А для двофакторної аутентифікації в операційних системах Windows, Linux та MacOS використовуються .
(Примітка перекладача)
Джерело: habr.com