اپنے گوگل اکاؤنٹ کو چوری ہونے سے روکنے کے لیے آپ کو کیا کرنے کی ضرورت ہے۔

گوگل نے شائع کیا ہے۔ مطالعہ "اکاؤنٹ کی چوری کو روکنے میں بنیادی اکاؤنٹ کی صفائی کتنی مؤثر ہے" اس بارے میں کہ اکاؤنٹ کا مالک اسے مجرموں کے ذریعے چوری ہونے سے روکنے کے لیے کیا کر سکتا ہے۔ ہم آپ کی توجہ کے لیے اس مطالعہ کا ترجمہ پیش کرتے ہیں۔
سچ ہے، سب سے مؤثر طریقہ، جو کہ گوگل خود استعمال کرتا ہے، رپورٹ میں شامل نہیں کیا گیا۔ مجھے اس طریقہ کے بارے میں آخر میں لکھنا پڑا۔

ہر روز ہم صارفین کو اکاؤنٹ ہیک کرنے کی لاکھوں کوششوں سے بچاتے ہیں۔ بولشائنسٹو اٹاک تھرڈ پارٹی پاس ورڈ کریکنگ سسٹم تک رسائی کے ساتھ خودکار بوٹس سے آتا ہے، لیکن فشنگ اور ٹارگٹڈ حملے بھی موجود ہیں۔ پہلے ہم نے بتایا کہ کیسے صرف پانچ آسان اقدامات، جیسے کہ فون نمبر شامل کرنا، آپ کو محفوظ رہنے میں مدد دے سکتا ہے، لیکن اب ہم اسے عملی طور پر ثابت کرنا چاہتے ہیں۔

فشنگ حملہ ایک صارف کو دھوکہ دینے کی کوشش ہے کہ وہ رضاکارانہ طور پر حملہ آور کو ایسی معلومات فراہم کرے جو ہیکنگ کے عمل میں مفید ہو گی۔ مثال کے طور پر، قانونی درخواست کے انٹرفیس کو کاپی کرکے۔

خودکار بوٹس کا استعمال کرتے ہوئے حملے بڑے پیمانے پر ہیکنگ کی کوششیں ہیں جن کا مقصد مخصوص صارفین پر نہیں ہے۔ عام طور پر عوامی طور پر دستیاب سافٹ ویئر کا استعمال کرتے ہوئے کیا جاتا ہے اور غیر تربیت یافتہ "کریکر" کے ذریعہ بھی استعمال کیا جا سکتا ہے۔ حملہ آور مخصوص صارفین کی خصوصیات کے بارے میں کچھ نہیں جانتے - وہ صرف پروگرام شروع کرتے ہیں اور آس پاس کے تمام ناقص محفوظ سائنسی ریکارڈز کو "پکڑتے" ہیں۔

ٹارگٹڈ حملے مخصوص اکاؤنٹس کی ہیکنگ ہیں، جس میں ہر اکاؤنٹ اور اس کے مالک کے بارے میں اضافی معلومات اکٹھی کی جاتی ہیں، ٹریفک کو روکنے اور ان کا تجزیہ کرنے کی کوششوں کے ساتھ ساتھ مزید پیچیدہ ہیکنگ ٹولز کا استعمال ممکن ہے۔

(مترجم کا نوٹ)

ہم نے نیویارک یونیورسٹی اور کیلیفورنیا یونیورسٹی کے محققین کے ساتھ مل کر یہ معلوم کیا کہ اکاؤنٹ ہائی جیکنگ کو روکنے کے لیے اکاؤنٹ کی بنیادی صفائی کتنی مؤثر ہے۔

کے بارے میں سالانہ مطالعہ بڑے پیمانے پر и ٹارگٹڈ حملے بدھ کو ماہرین، پالیسی سازوں اور صارفین کے اجلاس میں پیش کیا گیا۔ ویب کانفرنس.
ہماری تحقیق سے پتہ چلتا ہے کہ آپ کے Google اکاؤنٹ میں صرف ایک فون نمبر شامل کرنے سے ہماری تحقیقات میں 100% خودکار بوٹ حملوں، 99% بلک فشنگ حملوں، اور 66% ہدفی حملوں کو روکا جا سکتا ہے۔

اکاؤنٹ ہائی جیکنگ کے خلاف خودکار فعال Google تحفظ

ہم اپنے تمام صارفین کو اکاؤنٹ ہیکنگ سے بہتر طریقے سے بچانے کے لیے خودکار فعال تحفظ کو نافذ کرتے ہیں۔ یہاں یہ ہے کہ یہ کیسے کام کرتا ہے: اگر ہمیں ایک مشکوک لاگ ان کوشش کا پتہ چلتا ہے (مثال کے طور پر، کسی نئے مقام یا آلے ​​سے)، تو ہم اضافی ثبوت طلب کریں گے کہ یہ واقعی آپ ہی ہیں۔ یہ تصدیق اس بات کی تصدیق کر سکتی ہے کہ آپ کو ایک قابل اعتماد فون نمبر تک رسائی حاصل ہے، یا کسی ایسے سوال کا جواب دینا جس کا صحیح جواب صرف آپ کو معلوم ہے۔

اگر آپ اپنے فون میں سائن ان ہیں یا اپنے اکاؤنٹ کی ترتیبات میں فون نمبر فراہم کرتے ہیں، تو ہم دو قدمی توثیق کے برابر سیکیورٹی فراہم کر سکتے ہیں۔ ہم نے پایا کہ ریکوری فون نمبر پر بھیجے گئے SMS کوڈ نے 100% خودکار بوٹس، 96% بلک فشنگ حملوں اور 76% ٹارگٹڈ حملوں کو روکنے میں مدد کی۔ اور ڈیوائس ٹرانزیکشن کی تصدیق کرنے کا اشارہ دیتی ہے، SMS کے لیے ایک زیادہ محفوظ متبادل، 100% خودکار بوٹس، 99% بڑے پیمانے پر فشنگ حملوں اور 90% ٹارگٹڈ حملوں کو روکنے میں مدد کرتا ہے۔

ڈیوائس کی ملکیت اور کچھ حقائق کے علم دونوں پر مبنی تحفظ خودکار بوٹس کا مقابلہ کرنے میں مدد کرتا ہے، جب کہ ڈیوائس کی ملکیت کا تحفظ فشنگ اور حتیٰ کہ ٹارگٹ حملوں کو روکنے میں مدد کرتا ہے۔

اگر آپ کے اکاؤنٹ میں فون نمبر سیٹ اپ نہیں ہے، تو ہم آپ کے بارے میں جو کچھ جانتے ہیں اس کی بنیاد پر کمزور سیکیورٹی تکنیک استعمال کر سکتے ہیں، جیسے کہ آپ نے آخری بار اپنے اکاؤنٹ میں کہاں لاگ ان کیا تھا۔ یہ بوٹس کے خلاف اچھی طرح کام کرتا ہے، لیکن فشنگ کے خلاف تحفظ کی سطح 10% تک گر سکتی ہے، اور ٹارگٹ حملوں کے خلاف عملی طور پر کوئی تحفظ نہیں ہے۔ اس کی وجہ یہ ہے کہ فشنگ پیجز اور ٹارگٹڈ حملہ آور آپ کو کوئی بھی اضافی معلومات ظاہر کرنے پر مجبور کر سکتے ہیں جس کی توثیق کے لیے گوگل پوچھ سکتا ہے۔

اس طرح کے تحفظ کے فوائد کے پیش نظر، کوئی پوچھ سکتا ہے کہ ہمیں ہر لاگ ان کے لیے اس کی ضرورت کیوں نہیں ہے۔ جواب یہ ہے کہ یہ صارفین کے لیے اضافی پیچیدگی پیدا کرے گا (خاص طور پر غیر تیاری کے لئے - تقریبا. ترجمہ.) اور اکاؤنٹ کی معطلی کا خطرہ بڑھ جائے گا۔ تجربے سے معلوم ہوا کہ 38% صارفین کو اپنے اکاؤنٹ میں لاگ ان کرتے وقت اپنے فون تک رسائی حاصل نہیں تھی۔ مزید 34% صارفین اپنا ثانوی ای میل پتہ یاد نہیں رکھ سکے۔

اگر آپ اپنے فون تک رسائی کھو چکے ہیں یا سائن ان نہیں کر پا رہے ہیں، تو آپ اپنے اکاؤنٹ تک رسائی کے لیے ہمیشہ اس قابل اعتماد ڈیوائس پر واپس جا سکتے ہیں جس سے آپ نے پہلے سائن ان کیا تھا۔

ہیک برائے کرایہ کے حملوں کو سمجھنا

جہاں زیادہ تر خودکار تحفظات زیادہ تر بوٹس اور فشنگ حملوں کو روکتے ہیں، وہاں ٹارگٹڈ حملے زیادہ نقصان دہ ہو جاتے ہیں۔ ہماری مسلسل کوششوں کے حصے کے طور پر ہیکنگ کے خطرات کی نگرانی، ہم مسلسل نئے مجرمانہ ہیکنگ گروپس کی نشاندہی کر رہے ہیں جو کرایہ پر لینے کے لیے ایک اکاؤنٹ کو ہیک کرنے کے لیے اوسطاً $750 وصول کرتے ہیں۔ یہ حملہ آور اکثر فشنگ ای میلز پر انحصار کرتے ہیں جو خاندان کے افراد، ساتھیوں، سرکاری اہلکاروں، یا یہاں تک کہ گوگل کی نقالی کرتی ہیں۔ اگر ٹارگٹ فشنگ کی پہلی کوشش سے باز نہیں آتا ہے تو اس کے بعد کے حملے ایک ماہ سے زیادہ جاری رہتے ہیں۔

مین-ان-دی-مڈل فشنگ حملے کی ایک مثال جو حقیقی وقت میں پاس ورڈ کی درستگی کی تصدیق کرتی ہے۔ پھر فشنگ صفحہ متاثرین کو متاثرین کے اکاؤنٹ تک رسائی کے لیے ایس ایم ایس تصدیقی کوڈز داخل کرنے کا اشارہ کرتا ہے۔

ہمارا اندازہ ہے کہ ایک ملین میں سے صرف ایک صارف اس اعلی خطرے میں ہے۔ حملہ آور بے ترتیب لوگوں کو نشانہ نہیں بناتے ہیں۔ اگرچہ تحقیق سے پتہ چلتا ہے کہ ہمارے خودکار تحفظات تاخیر میں مدد کر سکتے ہیں اور یہاں تک کہ 66% تک ہدف شدہ حملوں کو روکنے میں مدد کر سکتے ہیں جن کا ہم نے مطالعہ کیا ہے، ہم پھر بھی تجویز کرتے ہیں کہ زیادہ خطرہ والے صارفین ہمارے ساتھ رجسٹر کریں۔ ضمنی تحفظ پروگرام. جیسا کہ ہماری تحقیقات کے دوران دیکھا گیا، وہ صارفین جو خصوصی طور پر سیکیورٹی کیز استعمال کرتے ہیں (یعنی صارفین کو بھیجے گئے کوڈز کا استعمال کرتے ہوئے دو قدمی توثیق - تقریباً۔ ترجمہ)، سپیئر فشنگ کا شکار ہو گئے ہیں۔

اپنے اکاؤنٹ کی حفاظت کے لیے تھوڑا وقت نکالیں۔

آپ گاڑیوں میں سفر کے دوران زندگی اور اعضاء کی حفاظت کے لیے سیٹ بیلٹ استعمال کرتے ہیں۔ اور ہماری مدد سے پانچ تجاویز آپ اپنے اکاؤنٹ کی حفاظت کو یقینی بنا سکتے ہیں۔

ہماری تحقیق سے پتہ چلتا ہے کہ آپ اپنے Google اکاؤنٹ کی حفاظت کے لیے سب سے آسان کاموں میں سے ایک فون نمبر ترتیب دینا ہے۔ زیادہ خطرہ والے صارفین جیسے صحافیوں، کمیونٹی کے کارکنوں، کاروباری رہنماؤں اور سیاسی مہم کی ٹیموں کے لیے، ہمارا پروگرام اعلی درجے کی حفاظت اعلی ترین سطح کی سیکورٹی کو یقینی بنانے میں مدد ملے گی۔ آپ ایکسٹینشن انسٹال کر کے اپنے غیر گوگل اکاؤنٹس کو پاس ورڈ ہیک سے بھی بچا سکتے ہیں۔ کروم پاس ورڈ چیک اپ.

یہ دلچسپ بات ہے کہ گوگل اپنے صارفین کے مشورے پر عمل نہیں کرتا ہے۔ گوگل ہارڈ ویئر ٹوکن استعمال کرتا ہے۔ اس کے 85 سے زیادہ ملازمین کے لیے دو فیکٹر تصدیق کے لیے۔ کارپوریشن کے نمائندوں کے مطابق ہارڈویئر ٹوکن کا استعمال شروع کرنے کے بعد سے اب تک ایک بھی اکاؤنٹ کی چوری ریکارڈ نہیں کی گئی۔ اس رپورٹ میں پیش کردہ اعداد و شمار سے موازنہ کریں۔ اس طرح یہ واضح ہے کہ ہارڈ ویئر کا استعمال ٹوکن دو عنصر کی توثیق کے لیے حفاظت کا واحد قابل اعتماد طریقہ اکاؤنٹس اور معلومات دونوں (اور کچھ معاملات میں رقم بھی)۔

گوگل اکاؤنٹس کی حفاظت کے لیے، ہم مثال کے طور پر، FIDO U2F معیار کے مطابق بنائے گئے ٹوکن استعمال کرتے ہیں۔ اس طرح. اور ونڈوز، لینکس اور میک او ایس آپریٹنگ سسٹمز میں دو عنصر کی توثیق کے لیے، کرپٹوگرافک ٹوکنز.

(مترجم کا نوٹ)

ماخذ: www.habr.com