Σε μια έκθεση που κυκλοφόρησε την Παρασκευή, η Google τόνισε τη σημασία της σύνδεσης ενός αριθμού τηλεφώνου με έναν λογαριασμό. Η ύπαρξη ενός τηλεφώνου μπορεί να βοηθήσει στην αντιμετώπιση hijacking και phishing επιθέσεων.
Ας πάρουμε τα πράγματα από την αρχή. Όλοι σχεδόν οι άνθρωποι διαθέτουν email. Αυτό είναι απαραίτητο για τη δημιουργία λογαριασμών σε διάφορες web υπηρεσίες αλλά και για την επικοινωνία, την ανταλλαγή δεδομένων και λοιπά.
Εταιρείες, όπως η Google και η Microsoft, έχουν υιοθετήσει ένα σύστημα, κατά το οποίο ο χρήστης μπορεί να χρησιμοποιεί το ίδιο όνομα χρήστη και τον ίδιο κωδικό πρόσβασης για να συνδεθεί σε όλες τις υπηρεσίες (που ανήκουν στον ίδιο πάροχο). Επιπλέον, αυτοί οι λογαριασμοί μπορούν να χρησιμοποιηθούν και για να συνδεθούν σε υπηρεσίες τρίτων.
Αν σκεφτούμε όλα τα παραπάνω, δεν μας φαίνεται περίεργο το γεγονός ότι οι hackers θεωρούν εύκολο στόχο το email. Καθημερινά, γίνονται χιλιάδες απόπειρες παραβίασης των λογαριασμών των χρηστών. Γι’ αυτό το λόγο, πολλές εταιρείες, όπως η Google, αναπτύσσουν μεθόδους για την πρόληψη και την αντιμετώπιση επιθέσεων.
Προληπτικές μέθοδοι προστασίας
Μια βασική προληπτική μέθοδος, που χρησιμοποιεί η Google, είναι η προσθήκη ενός αριθμού τηλεφώνου ανάκτησης στον λογαριασμό Google. Μια έρευνα έχει δείξει ότι είναι μια πολύ αποτελεσματική μέθοδος προστασίας από ATO επιθέσεις. Το ποσοστό πρόληψης έφτασε το 100% στην περίπτωση αυτοματοποιημένων bots, 99% σε phishing επιθέσεις και 90% σε στοχευμένες επιθέσεις.
Οι ερευνητές εντόπισαν πάνω από 350.000 απόπειρες παραβίασης σε δείγμα 1.2 εκατομμυρίων χρηστών.
Η Google προσπαθεί να προσφέρει όσο το δυνατόν μεγαλύτερη ασφάλεια. Ένα άλλο προληπτικό μέτρο είναι η ανίχνευση της προέλευσης ενός αιτήματος για σύνδεση στο λογαριασμό. Η προέλευση αφορά τόσο την τοποθεσία όσο και τη συσκευή. Όταν ένας χρήστης προσπαθεί να συνδεθεί από διαφορετική συσκευή ή τοποθεσία, καλείται να αποδείξει ότι είναι ο νόμιμος κάτοχος του λογαριασμού, περνώντας από μια δεύτερη «δοκιμασία» ελέγχου ταυτότητας.
Επίσης, όταν ανιχνεύεται ύποπτη προσπάθεια σύνδεσης, ο χρήστης περνά και ένα επιπλέον βήμα επαλήθευσης (π.χ. απαντήσεις σε κάποιες ερωτήσεις ασφαλείας, παροχή ενός τηλεφωνικού αριθμού κλπ.).
Η έρευνα, που έδειξε τη σημασία του τηλεφώνου, κατέληξε στο συμπέρασμα ότι ο έλεγχος ταυτότητας μέσω SMS είναι από τις λιγότερο αποτελεσματικές μεθόδους προστασίας, καθώς θα μπορούσε να παραβιαστεί με μια man-in-the-middle επίθεση. Ωστόσο, η χρήση prompts αυξάνει το ποσοστό πρόληψης.
Η Google λέει ότι εάν οι χρήστες δεν έχουν προσθέσει τον αριθμό του τηλεφώνου τους, τότε θα πρέπει να χρησιμοποιηθούν οι πιο αδύναμες μέθοδοι προστασίας, όπως είναι η ανάκληση της τελευταίας τοποθεσίας, που έγινε σύνδεση. Αυτό μπορεί να είναι αποτελεσματικό για κάποιες απειλές όχι όμως και για τις phishing επιθέσεις.
Πέρα από τον αριθμό του τηλεφώνου, η Google παρέχει και άλλα μέσα προστασίας των λογαριασμών από επιθέσεις, όπως οι κωδικοί «μιας χρήσης». Ωστόσο, όσο περισσότερες διαδικασίες χρειάζονται για τον έλεγχο ταυτότητας, τόσο πιο απίθανο είναι να χρησιμοποιηθούν από το μέσο χρήστη.
