Google nashr qildi Hisob egasi uni jinoyatchilar tomonidan o'g'irlanishining oldini olish uchun nima qilishi mumkinligi haqida "Hisob qaydnomasi o'g'irlanishining oldini olishda asosiy hisob gigienasi qanchalik samarali". Sizning e'tiboringizga ushbu tadqiqotning tarjimasini taqdim etamiz.
To'g'ri, Googlening o'zi qo'llaydigan eng samarali usul hisobotga kiritilmagan. Oxirida bu usul haqida o'zim yozishim kerak edi.
Biz har kuni foydalanuvchilarni yuz minglab hisoblarni buzish urinishlaridan himoya qilamiz. uchinchi tomon parollarini buzish tizimlariga kirish huquqiga ega avtomatlashtirilgan botlardan keladi, ammo fishing va maqsadli hujumlar ham mavjud. Oldin biz qanday qilib aytdik , masalan, telefon raqamini qo'shish sizni xavfsiz saqlashga yordam beradi, ammo endi biz buni amalda isbotlamoqchimiz.
Fishing hujumi foydalanuvchini aldashga urinish bo'lib, tajovuzkorga xakerlik jarayonida foydali bo'lgan ma'lumotlarni ixtiyoriy ravishda taqdim etadi. Masalan, qonuniy dastur interfeysini nusxalash orqali.
Avtomatlashtirilgan botlardan foydalangan holda hujumlar ma'lum foydalanuvchilarga qaratilmagan ommaviy xakerlik urinishlaridir. Odatda ommaviy dasturiy ta'minot yordamida amalga oshiriladi va hatto o'qimagan "krakerlar" ham foydalanishi mumkin. Hujumchilar aniq foydalanuvchilarning xususiyatlari haqida hech narsa bilishmaydi - ular shunchaki dasturni ishga tushiradilar va atrofdagi barcha yomon himoyalangan ilmiy yozuvlarni "ushlaydilar".
Maqsadli hujumlar - bu har bir akkaunt va uning egasi haqida qo'shimcha ma'lumotlar to'planadigan, trafikni ushlab turish va tahlil qilishga urinishlar, shuningdek, yanada murakkab xakerlik vositalaridan foydalanish mumkin bo'lgan maxsus hisoblarni buzish.
(Tarjimonning eslatmasi)
Biz Nyu-York universiteti va Kaliforniya universiteti tadqiqotchilari bilan hisob qaydnomasi o‘g‘irlanishining oldini olishda asosiy hisob gigienasi qanchalik samarali ekanligini aniqlash uchun hamkorlik qildik.
haqida yillik o'rganish и deb nomlangan ekspertlar, siyosatchilar va foydalanuvchilar yig'ilishida chorshanba kuni taqdim etildi .
Bizning tadqiqotimiz shuni ko'rsatadiki, Google hisobingizga telefon raqamini qo'shish orqali bot-hujumlarning 100 foizigacha, ommaviy fishing hujumlarining 99 foizi va maqsadli hujumlarning 66 foizi bloklanishi mumkin.
Hisobni o'g'irlashdan avtomatik proaktiv Google himoyasi
Biz barcha foydalanuvchilarimizni hisobni buzishdan yaxshiroq himoya qilish uchun avtomatik proaktiv himoyani amalga oshiramiz. Bu quyidagicha ishlaydi: Agar shubhali kirishga urinish aniqlansa (masalan, yangi joydan yoki qurilmadan), biz bu haqiqatan ham siz ekanligingizni tasdiqlovchi qoʻshimcha dalil soʻraymiz. Bu tasdiqlash ishonchli telefon raqamiga kirish huquqiga ega ekanligingizni tasdiqlash yoki toʻgʻri javobni faqat oʻzingiz biladigan savolga javob berish boʻlishi mumkin.
Agar siz telefoningizga kirgan boʻlsangiz yoki hisob sozlamalarida telefon raqamini koʻrsatgan boʻlsangiz, biz ikki bosqichli tekshiruv bilan bir xil darajadagi xavfsizlikni taʼminlay olamiz. Qayta tiklash telefon raqamiga yuborilgan SMS kod avtomatlashtirilgan botlarni 100%, yirik fishing hujumlarini 96% va maqsadli hujumlarni 76% blokirovka qilishga yordam berganini aniqladik. Shuningdek, qurilma tranzaksiyani tasdiqlash so‘rovlari, ya’ni SMSni xavfsizroq o‘zgartirish, avtomatlashtirilgan botlarning 100%, ommaviy fishing hujumlarining 99% va maqsadli hujumlarning 90% oldini olishga yordam berdi.
Qurilmaga egalik huquqiga va ma'lum faktlarni bilishga asoslangan himoya avtomatlashtirilgan botlarga qarshi turishga yordam beradi, qurilma egaligini himoya qilish esa fishing va hatto maqsadli hujumlarning oldini olishga yordam beradi.
Agar hisobingizda telefon raqamingiz oʻrnatilmagan boʻlsa, biz siz haqingizda bilgan narsalarga asoslanib, zaifroq xavfsizlik usullaridan foydalanishimiz mumkin, masalan, hisobingizga oxirgi marta kirgan joyingiz. Bu botlarga qarshi yaxshi ishlaydi, lekin fishingdan himoyalanish darajasi 10% gacha tushishi mumkin va maqsadli hujumlardan himoyalanish deyarli yo'q. Buning sababi, fishing sahifalari va maqsadli tajovuzkorlar sizni Google tekshirishni so'rashi mumkin bo'lgan qo'shimcha ma'lumotlarni oshkor qilishga majburlashi mumkin.
Bunday himoyaning afzalliklarini hisobga olgan holda, nima uchun har bir login uchun biz buni talab qilmasligimizni so'rashi mumkin. Javob shundaki, u foydalanuvchilar uchun qo'shimcha murakkablik yaratadi (ayniqsa, tayyor bo'lmaganlar uchun - taxminan. tarjima.) hisobni to‘xtatib qo‘yish xavfini oshiradi. Tajriba shuni ko'rsatdiki, foydalanuvchilarning 38 foizi o'z akkauntiga kirishda telefonlariga kirish imkoniga ega emaslar. Yana 34% foydalanuvchilar ikkinchi darajali elektron pochta manzillarini eslay olmadilar.
Agar siz telefoningizga kirish huquqini yoʻqotgan boʻlsangiz yoki tizimga kira olmasangiz, hisobingizga kirish uchun avval kirgan ishonchli qurilmangizga istalgan vaqtda qaytishingiz mumkin.
Xakerlik hujumlarini tushunish
Aksariyat avtomatlashtirilgan himoya vositalari ko'pchilik botlarni va fishing hujumlarini to'sib qo'ysa, maqsadli hujumlar yanada zararli bo'ladi. Bizning davom etayotgan sa'y-harakatlarimizning bir qismi sifatida , biz doimiy ravishda bitta hisobni buzish uchun o'rtacha 750 dollar undiradigan yangi jinoiy xakerlik guruhlarini aniqlaymiz. Bu tajovuzkorlar ko'pincha oila a'zolari, hamkasblari, hukumat amaldorlari yoki hatto Google nomini o'xshatuvchi fishing elektron pochta xabarlariga tayanadilar. Agar maqsad birinchi fishing urinishidan voz kechmasa, keyingi hujumlar bir oydan ortiq davom etadi.
Haqiqiy vaqtda parolning to'g'riligini tekshiradigan odam-in-the-middle fishing hujumiga misol. Keyin fishing sahifasi qurbonlardan jabrlanuvchining hisobiga kirish uchun SMS autentifikatsiya kodlarini kiritishni taklif qiladi.
Hisob-kitoblarga ko'ra, million foydalanuvchidan faqat bittasi bunday yuqori xavf ostida. Hujumchilar tasodifiy odamlarni nishonga olmaydi. Tadqiqotlar shuni ko'rsatadiki, bizning avtomatlashtirilgan himoyalarimiz biz o'rgangan maqsadli hujumlarning 66 foizini kechiktirishga va hatto oldini olishga yordam beradi, lekin biz hali ham yuqori xavfli foydalanuvchilarga bizning veb-saytimizda ro'yxatdan o'tishni tavsiya qilamiz. . Tekshiruvimiz davomida kuzatilganidek, faqat xavfsizlik kalitlaridan foydalanadigan foydalanuvchilar (ya'ni foydalanuvchilarga yuborilgan kodlar yordamida ikki bosqichli autentifikatsiya - taxminan. tarjima), nayzali fishing qurboniga aylandi.
Hisobingizni himoya qilish uchun biroz vaqt ajrating
Avtomobillarda sayohat qilishda hayot va oyoq-qo'llarni himoya qilish uchun xavfsizlik kamarlaridan foydalanasiz. Va bizning yordamimiz bilan hisobingiz xavfsizligini ta'minlashingiz mumkin.
Bizning tadqiqotimiz shuni ko'rsatadiki, Google hisobingizni himoya qilishning eng oson usullaridan biri telefon raqamini o'rnatishdir. Jurnalistlar, jamoat faollari, biznes rahbarlari va siyosiy kampaniya guruhlari kabi yuqori xavfli foydalanuvchilar uchun dasturimiz xavfsizlikning eng yuqori darajasini ta'minlashga yordam beradi. Kengaytmani oʻrnatish orqali Google boʻlmagan hisoblaringizni parollar buzilishidan ham himoya qilishingiz mumkin .
Qizig'i shundaki, Google o'z foydalanuvchilariga bergan maslahatlariga amal qilmaydi. 85 000 dan ortiq xodimlari uchun ikki faktorli autentifikatsiya uchun. Korporatsiya vakillarining so‘zlariga ko‘ra, apparat tokenlaridan foydalanish boshlanganidan beri bitta ham hisob o‘g‘irlanishi qayd etilmagan. Ushbu hisobotda keltirilgan raqamlar bilan solishtiring. Shunday qilib, apparat vositalaridan foydalanish aniq tokenlar ikki faktorli autentifikatsiya uchun himoya qilishning yagona ishonchli usuli ham hisob, ham ma'lumot (va ba'zi hollarda pul ham).
Google hisoblarini himoya qilish uchun, masalan, FIDO U2F standartiga muvofiq yaratilgan tokenlar ishlatiladi . Windows, Linux va MacOS operatsion tizimlarida ikki faktorli autentifikatsiya uchun, .
(Tarjimonning eslatmasi)
Manba: www.habr.com