Google провела исследование методов взлома учетных записей

К сожалению, взлом аккаунтов (или hijacking) — типичная проблема в Интернете. Более 15 % пользователей всемирной сети хотя бы раз сталкивались со взламыванием аккаунта в почтовых сервисах или социальных сетях. Однако, несмотря на известность этой напасти, до сих пор ощущается недостаток исследований, посвященных причинам явления.

Отдел по безопасности учетных записей Google объединился со специалистами Калифорнийского университета в Беркли, чтобы разобраться, как злоумышленникам удается получать контроль над учетными записями. Для этого с марта 2016 по март 2017 года они анализировали несколько черных рынков, на площадках которых взломщики крадут пароли и другие важные данные. Команда представила результаты исследования на конференции Computer and Communications Security (CCS) и выложила их в публичный доступ. Ниже будут приведены некоторые выводы из проделанной работы.

Как злоумышленники крадут пароли на черных рынках

Исследователи следили за несколькими теневыми рынками, на которых продавались базы паролей и около 25 тысяч инструментов для фишинга и кейлоггинга. В ходе расследования выяснилось, что 3,3 миллиарда паролей было украдены с помощью баз учетных записей, полученных путем взлома веб-сервисов, 12 миллионов— через фишинг (пользователи вводили свои данные в фальшивые формы, стилизованные под оригинальные) и 788 тысяч — через кейлоггеры (системы, зараженные вредоносным ПО, отправляют на сервер информацию, вводимую пользователями).

12 % паролей из баз взломанных учетных данных содержали в себе Gmail-адрес в качестве имени пользователя или пароля, 7 % подходили для входа в саму учётную запись Google. В случае фишинга и кейлоггинга 12 и 25 % атак соответственно привели к получению действительного пароля.

Однако знание одного пароля редко позволяет получить доступ к аккаунту Google. Взломщики также пытаются собрать другую важную информацию, которая может потребоваться при верификации личности, владеющей аккаунтом. 82 % хакерских фишинговых инструментов и 74 % кейлоггеров пытались собирать данные о IP-адресе и местоположении пользователя. Остальные 18 % собирали информацию о номере телефона и модели устройства.

Проранжировав относительный риск для пользователей, было обнаружено, что фишинг-атаки представляют наибольшую угрозу, за ними следуют кейлоггеры, а на последнем месте базы взломанных паролей.

Как Google защищает пользователей

После проведения исследования Google внедрила новые технологии в существующие системы защиты. Это расследование служит еще одним напоминанием, что веб-сервисы должны постоянно развивать свои службы безопасности, чтобы быть впереди взломщиков и суметь оградить пользователей от злоумышленников. На протяжении многих лет Google использует подход глубокой защиты. Он представляет собой многоуровневый постоянно обновляемый барьер, который автоматически предотвращает, распознает и смягчает атаки.

Предотвращение

Широкое разнообразие защитных расширений предотвращает атаки до того, как они повлияют на пользователей. Например, технология Safe Browsing, которая в настоящий момент используется в более чем трех миллиардах устройств, предупреждает пользователей об угрозе еще до того, как они посетили опасный сайт, или во время нажатия на ссылку опасного сайта в Gmail. Также недавно была анонсирована продвинутая программа защиты, которая снабжает пользователей с повышенным уровнем риска атаки дополнительным уровнем безопасности.

Распознавание

Google проверяет каждую попытку входа в аккаунт на наличие подозрительной активности. Если вход происходит с ранее не использовавшегося устройства или из необычного местоположения, запрашивается дополнительная информация. Например, если вы регистрируетесь с нового ноутбука и ваш телефон связан с аккаунтом, то вы увидите такой запрос:

Двухфакторная аутентификация срабатывает для всех подозрительных входов в систему, снижая при этом риск блокировки учетной записи.

Смягчение атаки

Продукты Google регулярно сканируются на предмет подозрительной активности злоумышленников. При обнаружении таковой замораживаются затронутые аккаунты, чтобы предотвратить еще больший возможный ущерб. После этого отменяются действия, произведенные во время взлома аккаунта, пользователь информируется о произведенной атаке, изменяет пароль, и аккаунт возвращается в рабочее состояние.

Что можете сделать вы

Google советует проверить безопасность своего аккаунта на наличие информации, ассоциированной с вашей учетной записью (например, номера телефона), разрешить Chrome автоматически генерировать пароли для ваших аккаунтов и сохранять их с помощью Smart Lock.