Google telah menerbitkan sebuah penelitian tentang "Seberapa efektif higiene dasar akun adalah untuk mencegahnya dicuri" tentang apa yang bisa dilakukan pemilik akun untuk mencegahnya dicuri oleh penyerang. Kami sajikan kepada Anda terjemahan dari penelitian ini.
Benar, metode paling efektif yang digunakan oleh Google sendiri tidak termasuk dalam laporan. Saya harus menulis tentang metode ini sendiri di akhir.
Setiap hari, kami melindungi pengguna dari ratusan ribu upaya peretasan.
Sebagian besar serangan datang dari bot otomatis dengan akses ke sistem peretas kata sandi pihak ketiga, tetapi ada juga serangan phishing dan bertarget. Sebelumnya, kami berbicara tentang bagaimana
hanya lima langkah sederhana , seperti menambahkan nomor telepon, dapat membantu Anda melindungi diri sendiri, tetapi sekarang kami ingin membuktikannya dalam praktik.
Serangan phishing adalah upaya untuk menipu pengguna sehingga ia secara sukarela memberikan informasi kepada penyerang yang akan berguna dalam proses peretasan. Misalnya, dengan menyalin antarmuka aplikasi legal.
Serangan dengan bot otomatis - upaya peretasan besar-besaran yang tidak ditujukan untuk pengguna tertentu. Mereka biasanya dilakukan dengan menggunakan perangkat lunak yang tersedia untuk umum dan tersedia untuk digunakan bahkan oleh "cracker" yang tidak terlatih. Penyerang tidak tahu apa-apa tentang fitur pengguna tertentu - mereka hanya menjalankan program dan "menangkap" semua catatan ilmiah yang kurang terlindungi.
Serangan yang ditargetkan adalah peretasan akun tertentu, di mana informasi tambahan dikumpulkan tentang setiap akun dan pemiliknya, upaya untuk mencegat dan menganalisis lalu lintas, serta penggunaan alat peretasan yang lebih kompleks, dimungkinkan.
(Catatan Penerjemah)
Kami bekerja sama dengan para peneliti dari New York University dan University of California untuk mengetahui seberapa efektif kebersihan akun dasar mencegah mereka dibajak.
Sebuah studi satu tahun tentang
serangan berskala besar dan
bertarget disajikan pada hari Rabu di sebuah pertemuan para ahli, politisi, dan pengguna yang disebut
The Web Conference .
Penelitian kami menunjukkan bahwa dengan menambahkan nomor telepon ke akun Google Anda dapat memblokir hingga 100% serangan dari bot otomatis, 99% dari serangan phising massal, dan 66% dari serangan yang ditargetkan yang terjadi selama penyelidikan kami.
Perlindungan proaktif otomatis Google terhadap pembajakan akun
Kami menerapkan perlindungan proaktif otomatis untuk melindungi semua pengguna kami dari peretasan akun. Begini cara kerjanya: jika kami menemukan upaya login yang mencurigakan (misalnya, dari lokasi atau perangkat baru), kami akan meminta bukti tambahan bahwa itu benar-benar Anda. Konfirmasi ini dapat berupa kontrol bahwa Anda memiliki akses ke telepon tepercaya, atau jawaban atas pertanyaan yang hanya Anda yang tahu jawaban yang benar.
Jika Anda masuk ke ponsel Anda atau memasukkan nomor telepon di pengaturan akun, kami dapat memberikan tingkat perlindungan yang sama dengan verifikasi dua langkah. Kami menemukan bahwa kode SMS yang dikirim ke nomor telepon pemulihan membantu memblokir 100% bot otomatis, 96% serangan phishing massal, dan 76% serangan yang ditargetkan. Dan permintaan pada perangkat dengan permintaan untuk mengkonfirmasi operasi, yang merupakan pengganti yang lebih aman untuk SMS, membantu mencegah 100% bot otomatis, 99% serangan phising massal, dan 90% serangan yang ditargetkan.
Perlindungan berdasarkan kepemilikan perangkat tertentu, serta pengetahuan fakta-fakta tertentu, membantu menolak bot otomatis, dan perlindungan berdasarkan kepemilikan perangkat tertentu membantu mencegah phishing dan bahkan serangan yang ditargetkan.
Jika nomor telepon Anda tidak dikonfigurasikan di akun Anda, kami mungkin menggunakan metode perlindungan yang lebih lemah berdasarkan pengetahuan tentang Anda, seperti di mana Anda terakhir masuk ke akun Anda. Ini berfungsi baik terhadap bot, tetapi tingkat perlindungan terhadap phishing bisa turun hingga 10%, dan praktis tidak ada perlindungan terhadap serangan yang ditargetkan. Ini karena laman phishing dan penyerang bertarget dapat memaksa Anda untuk mengungkapkan informasi tambahan apa pun yang mungkin diminta Google untuk verifikasi.
Mengingat keuntungan dari perlindungan semacam itu, orang mungkin bertanya mengapa kami tidak perlu menggunakannya untuk setiap login. Jawabannya adalah ini akan membuat kesulitan tambahan bagi pengguna (
terutama untuk pengguna yang
tidak siap - kira-kira. Terjemahan ). Dan akan meningkatkan risiko pemblokiran akun. Selama percobaan, ternyata 38% pengguna tidak memiliki akses ke ponsel mereka ketika masuk ke akun mereka. 34% pengguna lain tidak dapat mengingat alamat email alternatif mereka.
Jika Anda kehilangan akses ke ponsel atau tidak dapat masuk, Anda selalu dapat kembali ke perangkat tepercaya yang sebelumnya Anda masuk untuk mengakses akun Anda.
Memahami serangan sewaan yang disewa
Di mana sebagian besar pertahanan otomatis memblokir sebagian besar bot dan serangan phishing, serangan yang ditargetkan menjadi lebih berbahaya. Sebagai bagian dari upaya berkelanjutan kami untuk
memantau ancaman peretasan , kami terus-menerus mengidentifikasi kelompok kejahatan "peretasan" baru yang meminta akun untuk meretas dengan rata-rata $ 750. Penyerang ini sering mengandalkan email phishing yang menyamar sebagai anggota keluarga, kolega, pejabat pemerintah, atau bahkan Google. Jika target tidak menyerah pada upaya phishing pertama, serangan selanjutnya berlanjut selama lebih dari sebulan.
Contoh serangan phishing man-in-the-middle yang memeriksa kata sandi yang benar secara real time. Setelah itu, halaman phishing mengundang korban untuk memasukkan kode otentikasi SMS untuk mengakses akun korban.Menurut perkiraan kami, hanya satu dari sejuta pengguna yang berisiko tinggi. Penyerang tidak ditargetkan pada orang acak. Meskipun penelitian menunjukkan bahwa perlindungan otomatis kami dapat membantu menunda dan bahkan mencegah hingga 66% dari serangan yang ditargetkan yang kami pelajari, kami tetap menyarankan agar pengguna berisiko tinggi mendaftar dengan
program perlindungan tambahan kami. Seperti yang dicatat selama penyelidikan kami, pengguna yang menggunakan kunci keamanan khusus (
yaitu, otentikasi dua langkah menggunakan kode yang dikirim ke pengguna - sekitar. Terjemahan ), Menjadi korban phishing yang ditargetkan.
Luangkan waktu untuk melindungi akun Anda.
Anda menggunakan sabuk pengaman untuk melindungi hidup dan kesehatan Anda saat bepergian dengan mobil. Dan dengan
lima tips kami, Anda dapat memastikan keamanan akun Anda.
Seperti yang ditunjukkan oleh penelitian kami, salah satu hal termudah yang dapat Anda lakukan untuk melindungi akun Google Anda adalah dengan menetapkan nomor telepon. Untuk pengguna berisiko tinggi seperti jurnalis, aktivis komunitas, pemimpin bisnis, dan tim kampanye politik, program
Advanced Protection kami membantu memastikan tingkat keamanan tertinggi. Anda juga dapat melindungi akun layanan pihak ketiga (bukan Google) dari peretas kata sandi dengan memasang
ekstensi Pemeriksaan Kata Sandi Chrome .
Menariknya, Google tidak mengikuti saran yang dia sendiri berikan kepada penggunanya. Google menggunakan token perangkat keras untuk otentikasi dua faktor dari lebih dari 85.000 karyawannya. Menurut perwakilan korporasi, sejak awal penggunaan token perangkat keras, tidak ada pencurian akun yang tercatat. Bandingkan dengan angka-angka yang disajikan dalam laporan ini. Dengan demikian, dapat dilihat bahwa penggunaan token perangkat keras untuk otentikasi dua faktor adalah satu - satunya cara yang dapat diandalkan untuk melindungi akun dan informasi (dan dalam beberapa kasus juga uang).
Untuk melindungi akun Google, token yang dibuat sesuai dengan standar FIDO U2F digunakan, misalnya, ini . Dan untuk otentikasi dua faktor, token kriptografis digunakan di sistem operasi Windows, Linux dan MacOS.
(Catatan Penerjemah)