TechnologieZprávy
Photo of Georgii Kucherenko Georgii Kucherenko Send an email 15.02.2024Poslední aktualizace: 15.02.2024
0 107 Doba čtení: 4 min

12 způsobů, jak chránit svůj účet před hackery

Co musíte udělat, abyste zabránili odcizení vašeho účtu Google

Google zveřejnil studii „Jak efektivní je základní hygiena účtu při prevenci krádeže účtu“ o tom, co může vlastník účtu udělat, aby zabránil jeho odcizení útočníky. Předkládáme vám překlad této studie.
Pravda, nejúčinnější metoda, kterou používá samotný Google, do zprávy zahrnuta nebyla. O této metodě jsem musel na konci napsat sám.

Každý den chráníme uživatele před stovkami tisíc pokusů o hacknutí účtu. Většina útoků pochází od automatických botů s přístupem k systémům pro prolomení hesel třetích stran, ale nechybí ani phishing a cílené útoky. Již dříve jsme sdíleli, jak vám pouhých pět jednoduchých kroků, jako je přidání telefonního čísla, může pomoci zůstat v bezpečí, ale nyní to chceme dokázat v praxi.

Phishingový útok je pokus přimět uživatele, aby dobrovolně poskytl útočníkovi informace, které budou užitečné v procesu hackování. Například zkopírováním rozhraní právní aplikace.

Útoky pomocí automatizovaných botů jsou masivní pokusy o hackování, které nejsou zaměřeny na konkrétní uživatele. Obvykle se provádí pomocí veřejně dostupného softwaru a mohou jej používat i netrénovaní „crackeri“. Útočníci nevědí nic o vlastnostech konkrétních uživatelů – jednoduše spustí program a „chytí“ všechny špatně chráněné vědecké záznamy kolem.

Cílené útoky jsou hackování konkrétních účtů, při kterém se shromažďují další informace o každém účtu a jeho vlastníkovi, jsou možné pokusy o zachycení a analýzu provozu a také použití složitějších hackerských nástrojů.

Zajímavé:  5 chyb při ručním praní, které mohou zničit vaše oblečení.

Spojili jsme se s výzkumníky z New York University a University of California, abychom zjistili, jak účinná je základní hygiena účtu při prevenci krádeže účtu.

Celoroční studie o rozšířených a cílených útocích byla představena ve středu na setkání odborníků, politiků a uživatelů nazvaném The Web Conference.
Náš výzkum ukazuje, že pouhé přidání telefonního čísla do vašeho účtu Google může zablokovat až 100 % automatických útoků botů, 99 % hromadných phishingových útoků a 66 % cílených útoků v našem vyšetřování.

Automatická proaktivní ochrana Google proti krádeži účtu

Implementujeme automatickou proaktivní ochranu, abychom lépe chránili všechny naše uživatele před hackováním účtů. Funguje to takto: Pokud zjistíme podezřelý pokus o přihlášení (například z nového místa nebo zařízení), požádáme vás o další důkaz, že jste to skutečně vy. Tímto potvrzením může být ověření, že máte přístup k důvěryhodnému telefonnímu číslu, nebo zodpovězení otázky, na kterou znáte správnou odpověď pouze vy.

Pokud jste přihlášeni do telefonu nebo jste uvedli telefonní číslo v nastavení účtu, můžeme poskytnout stejnou úroveň zabezpečení jako dvoufázové ověření. Zjistili jsme, že SMS kód odeslaný na telefonní číslo pro obnovení pomohl zablokovat 100 % automatizovaných robotů, 96 % hromadných phishingových útoků a 76 % cílených útoků. A výzvy zařízení k potvrzení transakce, bezpečnější náhrada za SMS, pomohly zabránit 100 % automatizovaných botů, 99 % hromadných phishingových útoků a 90 % cílených útoků.

obraz

Ochrana založená na vlastnictví zařízení a znalosti určitých skutečností pomáhá čelit automatizovaným robotům, zatímco ochrana vlastnictví zařízení pomáhá předcházet phishingu a dokonce i cíleným útokům.

Pokud ve svém účtu nemáte nastavené telefonní číslo, můžeme použít slabší bezpečnostní techniky na základě toho, co o vás víme, například kde jste se ke svému účtu naposledy přihlásili. To funguje dobře proti botům, ale úroveň ochrany proti phishingu může klesnout až na 10 % a prakticky neexistuje žádná ochrana proti cíleným útokům. Je to proto, že phishingové stránky a cílení útočníci vás mohou donutit prozradit jakékoli další informace, které si Google může vyžádat ověření.

Zajímavé:  Microsoft nyní na webu Chrome zobrazuje obrovský banner, který vás vybízí, abyste zůstali na Edge –

Vzhledem k výhodám takové ochrany by se někdo mohl ptát, proč ji nepožadujeme při každém přihlášení. Odpověď zní, že by to pro uživatele vytvořilo další složitost (zejména pro nepřipravené – cca. překlad.) a zvýšilo by se riziko pozastavení účtu. Experiment zjistil, že 38 % uživatelů nemělo při přihlašování ke svému účtu přístup ke svému telefonu. Dalších 34 % uživatelů si nemohlo vzpomenout na svou sekundární e-mailovou adresu.

Pokud jste ztratili přístup k telefonu nebo se nemůžete přihlásit, můžete se kdykoli vrátit do důvěryhodného zařízení, ze kterého jste se dříve přihlásili, a získat přístup ke svému účtu.

Pochopení útoků typu hack-for-hire

Tam, kde většina automatizovaných ochran blokuje většinu botů a phishingových útoků, jsou cílené útoky škodlivější. V rámci našeho pokračujícího úsilí o monitorování hrozeb hackerů neustále identifikujeme nové kriminální hacking-for-hire skupiny, které si za hackování účtují v průměru 750 USD za účet. Tito útočníci často spoléhají na phishingové e-maily, které se vydávají za členy rodiny, kolegy, vládní úředníky nebo dokonce Google. Pokud se cíl nevzdá při prvním pokusu o phishing, další útoky pokračují déle než měsíc.

Příklad phishingového útoku typu man-in-the-middle, který ověřuje správnost hesla v reálném čase. Phishingová stránka poté vyzve oběti k zadání ověřovacích SMS kódů pro přístup k účtu oběti.

Odhadujeme, že takto vysoké riziko je vystaven pouze jednomu z milionu uživatelů. Útočníci se nezaměřují na náhodné lidi. I když výzkumy ukazují, že naše automatická ochrana může pomoci oddálit a dokonce zabránit až 66 % cílených útoků, které jsme studovali, stále doporučujeme, aby se vysoce rizikoví uživatelé zaregistrovali do našeho programu pokročilé ochrany. Jak bylo zjištěno během našeho šetření, uživatelé, kteří používají výhradně bezpečnostní klíče (tedy dvoufázové ověření pomocí kódů zaslaných uživatelům – cca. překlad), se stali obětí spear phishingu.

Zajímavé:  10 tipů pro zvýšení produktivity, které nějak ignorujeme.

Věnujte trochu času ochraně svého účtu

Při cestování autem používáte bezpečnostní pásy k ochraně života a končetin. A s pomocí našich pěti tipů můžete mít svůj účet v bezpečí.

Náš průzkum ukazuje, že jednou z nejjednodušších věcí, které můžete udělat pro ochranu svého účtu Google, je nastavit si telefonní číslo. Pro vysoce rizikové uživatele, jako jsou novináři, komunitní aktivisté, obchodní vedoucí a týmy politických kampaní, pomáhá náš program pokročilé ochrany zajistit nejvyšší úroveň zabezpečení. Své účty mimo Google můžete také chránit před hackováním hesel instalací rozšíření Chrome Password Checkup.

Je zajímavé, že se Google neřídí radami, které dává svým uživatelům. Google používá hardwarové tokeny pro dvoufaktorovou autentizaci pro více než 85 000 svých zaměstnanců. Podle zástupců korporace nebyla od začátku používání hardwarových tokenů zaznamenána ani jedna krádež účtu. Porovnejte s čísly uvedenými v této zprávě. Je tedy jasné, že použití hardwaru žetony pro dvoufaktorovou autentizaci jediný spolehlivý způsob ochrany jak účty, tak informace (a v některých případech i peníze).

K ochraně účtů Google se používají tokeny vytvořené podle standardu FIDO U2F, například tento. A pro dvoufaktorovou autentizaci v operačních systémech Windows, Linux a MacOS se používají kryptografické tokeny.

  • Blog společnosti „Active“
  • Informační bezpečnost
  • Kryptografie
  • Výzkum a prognózy v IT
  • Cloudové služby

Štítky
Photo of Georgii Kucherenko Georgii Kucherenko Send an email 15.02.2024Poslední aktualizace: 15.02.2024
0 107 Doba čtení: 4 min

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

© Copyright 2024 | Kopírování materiálů z těchto stránek podléhá právnímu postihu. | Informace na webových stránkách mají pouze informativní charakter a nejsou stoprocentně spolehlivé.
Back to top button