Google đã xuất bản “Việc vệ sinh tài khoản cơ bản có hiệu quả như thế nào trong việc ngăn chặn hành vi trộm cắp tài khoản” về những gì chủ tài khoản có thể làm để ngăn chặn tội phạm đánh cắp tài khoản. Chúng tôi xin gửi đến quý vị bản dịch của nghiên cứu này.
Đúng, phương pháp hiệu quả nhất được chính Google sử dụng lại không được đưa vào báo cáo. Cuối cùng tôi đã phải tự mình viết về phương pháp này.
Mỗi ngày chúng tôi bảo vệ người dùng khỏi hàng trăm nghìn nỗ lực hack tài khoản. đến từ các bot tự động có quyền truy cập vào hệ thống bẻ khóa mật khẩu của bên thứ ba, nhưng các cuộc tấn công lừa đảo và có chủ đích cũng hiện diện. Trước đây chúng tôi đã nói làm thế nào , chẳng hạn như thêm số điện thoại, có thể giúp bạn được an toàn, nhưng bây giờ chúng tôi muốn chứng minh điều đó bằng thực tế.
Tấn công lừa đảo là một nỗ lực nhằm lừa người dùng tự nguyện cung cấp thông tin hữu ích cho kẻ tấn công trong quá trình hack. Ví dụ: bằng cách sao chép giao diện của một ứng dụng hợp pháp.
Các cuộc tấn công sử dụng bot tự động là những nỗ lực tấn công quy mô lớn không nhằm vào người dùng cụ thể. Thường được thực hiện bằng cách sử dụng phần mềm có sẵn công khai và có thể được sử dụng ngay cả bởi những “cracker” chưa qua đào tạo. Những kẻ tấn công không biết gì về đặc điểm của những người dùng cụ thể - chúng chỉ cần khởi chạy chương trình và “bắt” tất cả các hồ sơ khoa học được bảo vệ kém xung quanh.
Các cuộc tấn công có mục tiêu là hack các tài khoản cụ thể, trong đó thông tin bổ sung được thu thập về từng tài khoản và chủ sở hữu của nó, cố gắng chặn và phân tích lưu lượng truy cập, cũng như có thể sử dụng các công cụ hack phức tạp hơn.
(Chú thích của người dịch)
Chúng tôi đã hợp tác với các nhà nghiên cứu từ Đại học New York và Đại học California để tìm hiểu mức độ hiệu quả của việc vệ sinh tài khoản cơ bản trong việc ngăn chặn việc chiếm đoạt tài khoản.
Nghiên cứu hàng năm về и đã được trình bày hôm thứ Tư tại một cuộc họp gồm các chuyên gia, nhà hoạch định chính sách và người dùng được gọi là .
Nghiên cứu của chúng tôi cho thấy rằng chỉ cần thêm số điện thoại vào tài khoản Google của bạn có thể chặn tới 100% các cuộc tấn công bằng bot tự động, 99% các cuộc tấn công lừa đảo hàng loạt và 66% các cuộc tấn công có chủ đích trong cuộc điều tra của chúng tôi.
Tự động chủ động bảo vệ Google chống lại việc chiếm đoạt tài khoản
Chúng tôi triển khai tính năng bảo vệ chủ động tự động để bảo vệ tốt hơn tất cả người dùng khỏi bị hack tài khoản. Đây là cách hoạt động: Nếu chúng tôi phát hiện một nỗ lực đăng nhập đáng ngờ (ví dụ: từ một vị trí hoặc thiết bị mới), chúng tôi sẽ yêu cầu bằng chứng bổ sung rằng đó thực sự là bạn. Xác nhận này có thể xác minh rằng bạn có quyền truy cập vào một số điện thoại đáng tin cậy hoặc trả lời một câu hỏi mà chỉ bạn mới biết câu trả lời chính xác.
Nếu bạn đã đăng nhập vào điện thoại hoặc cung cấp số điện thoại trong cài đặt tài khoản của mình thì chúng tôi có thể cung cấp mức bảo mật tương tự như xác minh hai bước. Chúng tôi nhận thấy rằng mã SMS được gửi tới số điện thoại khôi phục đã giúp chặn 100% bot tự động, 96% các cuộc tấn công lừa đảo hàng loạt và 76% các cuộc tấn công có chủ đích. Và lời nhắc thiết bị để xác nhận giao dịch, một sự thay thế an toàn hơn cho SMS, đã giúp ngăn chặn 100% bot tự động, 99% các cuộc tấn công lừa đảo hàng loạt và 90% các cuộc tấn công có chủ đích.
Bảo vệ dựa trên cả quyền sở hữu thiết bị và kiến thức về một số thông tin nhất định giúp chống lại các bot tự động, trong khi bảo vệ quyền sở hữu thiết bị giúp ngăn chặn các cuộc tấn công lừa đảo và thậm chí có chủ đích.
Nếu bạn chưa thiết lập số điện thoại trong tài khoản của mình, chúng tôi có thể sử dụng các kỹ thuật bảo mật yếu hơn dựa trên những gì chúng tôi biết về bạn, chẳng hạn như nơi bạn đăng nhập vào tài khoản lần cuối. Điều này hoạt động tốt trước các bot, nhưng mức độ bảo vệ chống lừa đảo có thể giảm xuống 10% và hầu như không có biện pháp bảo vệ nào trước các cuộc tấn công có chủ đích. Điều này là do các trang lừa đảo và những kẻ tấn công có chủ đích có thể buộc bạn tiết lộ bất kỳ thông tin bổ sung nào mà Google có thể yêu cầu xác minh.
Với những lợi ích của việc bảo vệ như vậy, người ta có thể hỏi tại sao chúng tôi không yêu cầu nó cho mỗi lần đăng nhập. Câu trả lời là nó sẽ tạo thêm sự phức tạp cho người dùng (đặc biệt là đối với những người chưa chuẩn bị - khoảng. dịch.) và sẽ làm tăng nguy cơ bị đình chỉ tài khoản. Thử nghiệm cho thấy 38% người dùng không có quyền truy cập vào điện thoại khi đăng nhập vào tài khoản của họ. 34% người dùng khác không thể nhớ địa chỉ email phụ của họ.
Nếu bạn mất quyền truy cập vào điện thoại hoặc không thể đăng nhập, bạn luôn có thể quay lại thiết bị đáng tin cậy mà bạn đã đăng nhập trước đó để truy cập vào tài khoản của mình.
Tìm hiểu các cuộc tấn công hack-for-hire
Khi hầu hết các biện pháp bảo vệ tự động chặn hầu hết các bot và các cuộc tấn công lừa đảo, các cuộc tấn công có chủ đích sẽ trở nên nguy hiểm hơn. Là một phần trong những nỗ lực không ngừng của chúng tôi nhằm , chúng tôi liên tục xác định các nhóm tội phạm hack cho thuê mới tính phí trung bình 750 USD để hack một tài khoản. Những kẻ tấn công này thường dựa vào các email lừa đảo mạo danh thành viên gia đình, đồng nghiệp, quan chức chính phủ hoặc thậm chí là Google. Nếu mục tiêu không từ bỏ nỗ lực lừa đảo đầu tiên, các cuộc tấn công tiếp theo sẽ tiếp tục trong hơn một tháng.
Một ví dụ về cuộc tấn công lừa đảo trung gian nhằm xác minh tính chính xác của mật khẩu trong thời gian thực. Sau đó, trang lừa đảo sẽ nhắc nạn nhân nhập mã xác thực SMS để truy cập vào tài khoản của nạn nhân.
Chúng tôi ước tính rằng chỉ có một trong một triệu người dùng có nguy cơ cao như vậy. Những kẻ tấn công không nhắm mục tiêu vào những người ngẫu nhiên. Mặc dù nghiên cứu cho thấy rằng các biện pháp bảo vệ tự động của chúng tôi có thể giúp trì hoãn và thậm chí ngăn chặn tới 66% các cuộc tấn công có chủ đích mà chúng tôi đã nghiên cứu, nhưng chúng tôi vẫn khuyên người dùng có nguy cơ cao nên đăng ký với chúng tôi. . Như đã quan sát thấy trong quá trình điều tra của chúng tôi, những người dùng chỉ sử dụng khóa bảo mật (nghĩa là xác thực hai bước bằng cách sử dụng mã được gửi cho người dùng - khoảng. dịch), đã trở thành nạn nhân của lừa đảo trực tuyến.
Hãy dành một chút thời gian để bảo vệ tài khoản của bạn
Bạn sử dụng dây đai an toàn để bảo vệ tính mạng và tay chân khi di chuyển trên ô tô. Và với sự giúp đỡ của chúng tôi bạn có thể đảm bảo tính bảo mật cho tài khoản của mình.
Nghiên cứu của chúng tôi cho thấy rằng một trong những điều dễ dàng nhất bạn có thể làm để bảo vệ Tài khoản Google của mình là thiết lập số điện thoại. Đối với những người dùng có nguy cơ cao như nhà báo, nhà hoạt động cộng đồng, lãnh đạo doanh nghiệp và nhóm vận động chính trị, chương trình của chúng tôi sẽ giúp đảm bảo mức độ bảo mật cao nhất. Bạn cũng có thể bảo vệ các tài khoản không phải Google của mình khỏi bị hack mật khẩu bằng cách cài đặt tiện ích mở rộng .
Điều thú vị là Google không làm theo lời khuyên mà nó đưa ra cho người dùng. để xác thực hai yếu tố cho hơn 85 nhân viên của mình. Theo đại diện của tập đoàn, kể từ khi bắt đầu sử dụng token phần cứng, chưa có một vụ trộm tài khoản nào được ghi nhận. So sánh với số liệu trình bày trong báo cáo này. Vì vậy, rõ ràng là việc sử dụng phần cứng mã thông báo để xác thực hai yếu tố cách đáng tin cậy duy nhất để bảo vệ cả tài khoản và thông tin (và trong một số trường hợp còn có cả tiền).
Ví dụ: để bảo vệ tài khoản Google, mã thông báo được tạo theo tiêu chuẩn FIDO U2F sẽ được sử dụng . Và để xác thực hai yếu tố trong hệ điều hành Windows, Linux và MacOS, .
(Chú thích của người dịch)
Nguồn: www.habr.com