בעידן שבו אנחנו מנהלים את רוב האינטרקציות שלנו ברשת ומאחסנים בה את תמונותינו, כרטיסי האשראי שלנו וזכרונותינו, החשבונות שלנו הפכו למטרה עבור האקרים. מתקפות וניסיונות פריצה לחשבונות שלנו הופכים להיות תכופים יותר ומתוחכמים יותר מאי פעם, ולכן גוגל חברה לאוניברסיטת ברקלי בקליפורניה למחקר שבו ניסו להבין איך מצליחים להשתלט על חשבונות גוגל - והממצאים מדאיגים.
הסכנה הגדולה ביותר: מתקפות פישינג
גוגל ניטרה במשך שנה שווקים שחורים שונים במטרה להבין כיצד האקרים משיגים גישה לחשבונות שלנו, וגילתה כי בפרק הזמן הזה נגנבו 788,000 פרטי גישה באמצעות Keyloggers (תוכנות מעקב אחרי ההקשות על המקלדת), 12 מיליון נגנבו באמצעות פישינג ו-3.3 מיליארד חשבונות נפרצו באמצעות פריצות לשירותי צד שלישי. המספר האחרון רלוונטי גם עבור גוגל, כיוון ש-12% משמות המשתמש שנגנבו היו למעשה כתובות ג'ימייל.
מתוך הסיסמאות שנגנבו במסגרת פריצות לשירותי צד שלישי, 7% מהן היו זהות לאלו של חשבון ה-Gmail. במסגרת מתקפות הפישינג והלוגרים כלפי חשבונות ג’ימייל התוצאות היו עוד יותר מדאיגות - 12-25% מהמתקפות הצליחו להנפיק סיסמה תקנית עבור המשתמש.
גוגל מסבירה כי מאחר והיא מעבה את מערכי האבטחה שלה כל העת, השגת שמות משתמש וסיסמאות לרוב לא מספיקה כדי לאפשר גישה לחשבונות על ידי פורצים, ועל כן המתקפות הופכות להיות מתוחכמות עוד יותר ומנסות להשיג פרטים נוספים כמו כתובות IP ומיקום (82% ממתקפות הפישינג ו-74% ממתקפות הלוגרים), מספרי טלפון ודגמי טלפונים (כ-18% מכלי ההתקפות האחרים). הפרטים האלה מסייעים להאקרים להזדהות בשמכם ולהונות את מערכי האבטחה השונים. אי לכך, גוגל הכתירה את מתקפות הפישינג כמסוכנות ביותר עבור פרטי החשבונות שלכם.
אז מה גוגל עושה עם הממצאים?
גוגל מציינת כי היא כבר סיימה להסיק את מסקנותיה מהדו"ח והשליכה אותן על אמצעי האבטחה שלה, ואיבטחה 67 מיליון חשבונות קיימים בטרם נחטפו. ענקית הטכנולוגיה טוענת שהיא חושפת את הדו”ח באופן פומבי כדי שחברות אחרות ילמדו ממנו ויטמיעו גם הן אמצעי אבטחה מתקדמים יותר כדי להגן על המשתמשים שלהן.
גוגל מזכירה כי ישנם מספר כלים שבהם היא משתמשת כדי למנוע ולאתר פריצות לחשבונכם: ראשית, באמצעות אפשרות ה-Safe Browsing מזהירה גוגל את המשתמש מפני אתרים חשודים או קישורים מסוכנים, וכמו כן השיקה את מערך האבטחה המתקדם שלה לחשבונות בעלי פרופיל גבוה, אשר עתידים להיות מטרה למתקפות.
בנוסף, במידה וגוגל מזהה ניסיון כניסה לחשבונכם ממכשיר לא מוכר, היא דורשת אימות של הכניסה ממכשיר מוכר (ובכך היא בעצם כופה עליכם שימוש באימות דו שלבי, שהוא מערך אבטחה מומלץ ביותר ממילא).
ובמקרים בהם בכל זאת חשבונכם נפרץ, החברה טוענת שהיא סורקת את הפעילות של חשבונות גוגל ומנסה לאתר פעילות חשודה שמאפיינת "חוטפים", ובמקרה שהיא מזהה פעילות שכזו היא נועלת את החשבון, מנסה ליצור קשר עם בעל החשבון האמיתי ומספקת לו כלים לאיפוס הסיסמה והשבת החשבון לבעלותו.
לבסוף, החברה ממליצה לבצע את בדיקת האבטחה שלה, כדי לוודא שאיבטחתם את חשבונכם כראוי, וכמו כן ממליצה להשתמש באפשרות ייצור הסיסמא של דפדפן Chrome ובמנעול החכם (Smart Lock) שהיא הטמיעה ברוב מוצריה.
הכתבה פורסמה במקור באתר Geektime
עוד ב-Geektime:
הגאדג'טים האלה ישדרגו את הסמארטפון שלכם
כך תנהלו נכון את הזמן שלכם