گوگل با یک ابزار ۲۰ دلاری، امکان فیشینگ و سرقت اطلاعاتی را به صفر می‌رساند

سارقان,اطلاعات,گوگل,ابزار,فیشینگ,سرقت,اطلاعاتی

یکی از رایج‌ترین روش‌هایی که افراد هک می‌شوند، فیشینگ یا Sparphishing است.

اساسا، مهاجمان یا سارقان اطلاعات، ایمیلی را ایجاد می‌کنند که از نظر ظاهری کاملا طبیعی به‌نظر می‌رسد و کاربر را ترغیب به کلیک روی آن می‌کند. ایمیل ساخته‌شده توسط آنها می‌تواند شبیه به یک پیام صورتحساب مالی یا پیامی از سوی یک شرکت یا سرویس شناخته‌شده پیرامون تغییر گذرواژه‌تان باشد. کاربران بی‌خبر از اصل موضوع، معمولاً روی این لینک‌ها کلیک می‌کنند و با این کلیک به پایگاه‌هایی منتقل می‌شوند که دارای ظاهر کاملا قانونی و نرمال هستند. فرد قربانی یا مورد سرقت واقع‌شده، نام کاربری و گذرواژه‌ی خود را بدون هیچ درنگی در این سایت وارد کرده و به این ترتیب اطلاعات کلیدی خود را در اختیار سارقین قرار می‌دهد. پس از این کار، احتمال قابل‌توجهی وجود دارد مبنی بر اینکه حساب کاربری فرد هک شود.

بنا به اعلام وزارت دادگستری ایالات متحده، Spearphishing یکی از اصلی‌ترین روش‌هایی بود که جاسوسان روسی با استفاده از آن موفق به نفوذ در شبکه‌ی کمیته ملی دموکراتیک پیش از انتخابات ریاست جمهوری سال ۲۰۱۶ آمریکا شده بودند.

این یک مشکل بزرگ برای کسب‌وکارها محسوب می‌شود. شما به‌عنوان یک کاربر یا صاحب کسب‌وکار، این امکان را دارید که از ایمن بودن کامپیوترهای خودتان تا جای ممکن اطمینان حاصل کنید. اما نباید غافل شد که همه‌ی این اقدامات می‌توانند تنها با کوتاهی یا بی‌توجهی یک کارمند دارای دسترسی به اطلاعات حساس، بی‌اثر شوند. چنین اتفاقی در نهایت منجر به یک نفوذ یا سرقت اطلاعاتی خواهد شد.

با این حال، به‌نظر می‌رسد یک شرکت بزرگ موفق به حل مسئله‌ی فیشینگ شده است: گوگل. این موفقیت با اتکا به یک ابزار ۲۰ دلاری موسوم به کلید امنیتی یا Security-key به‌دست آمده است؛ ابزاری که گوگل، کارمندان خود را به استفاده از آن ملزم می‌کند.

بنا به اعلام کمپانی، هیچ یک از ۸۵ هزار کارمند گوگل پس از شروع به استفاده از این ابزار برای لاگین شدن در حساب‌های کاربری خودشان، مورد سرقت اطلاعاتی یا فیشینگ قرار نگرفته‌اند. گوگل اعلام کرده است:

ما پس از به‌کارگیری این کلید‌های امنیتی در شرکت گوگل، هیچ گزارش یا تاییدی پیرامون نفوذ یا سرقت از صاحبان حساب‌های کاربری نداشته‌ایم.

بر اساس گزارش برایان کربس، روزنامه‌نگار امنیتی که موفقیت گوگل را در برابر تلاش‌های فیشینگ، برای نخستین بار گزارش داد، این شرکت از اوایل سال ۲۰۱۷ میلادی شروع به الزام کارکنان خود برای استفاده از کلید‌های امنیتی فیزیکی به‌منظور مقابله با فیشینگ کرده است.

شرکت‌های دیگر و حتی شرکتی که شما در آن کار می‌کنید، ممکن است کارمندان را به استفاده از روش تایید دومرحله‌ای ملزم کرده باشند. به این معنی که هنگام ورود به سیستم با یک نام کاربری و گذرواژه، باید رمز دومی‌ را هم وارد کنید. نتیجه‌ی این ورود معمولا ‌به‌صورت پیام کوتاه یا از طریق یک برنامه به آن کاربر ارسال می‌شود.

بر طبق نظر کربس، Google این فرآیند تایید دومرحله‌ای متداول را یک گام جلوتر برده است و همه‌ی کارکنان خود را به استفاده از کلیدهای امنیتی ملزم ساخته است. کاربر یا کارمند، به‌جای گرفتن متن پس از وارد کردن گذرواژه‌ی خود، کافی است تا فقط کلید امنیتی خود را به پورت USB در کامپیوتروصل کرده و یک دکمه را فشار دهد.

این ‏کار یک موفقیت بزرگ برای شرکت بزرگی همچون گوگل است. گوگل داده‌های حساس زیادی در اختیار دارد و اینکه بدانیم کارمندان شرکت طعمه‌ی فیشینگ یا سرقت اطلاعاتی نمی‌شوند، به خودی خود دلگرم‌کننده است.

کاربران عادی هم می‌توانند از این کلید امنیتی همراه حساب کاربری جیمیل خود استفاده کنند. مدل‌های YubiKeyسازگار با USB، USB-C و دستگاه‌های تلفن همراه، از Yubico در دسترس هستند.

گوگل در ماه اکتبر سال گذشته‌ی میلادی (پاییز سال پیش)، یک برنامه‌ی پیشرفته حفاظتی شامل کلیدهای امنیتی را برای افرادی راه‌اندازی کرد که در معرض بیشترین خطر بودند؛ افرادی از جمله روزنامه‌نگاران، رهبران و فعالان دنیای کسب‌وکارهای بزرگ. گوگل همچنین با گروه‌های صنعتی مختلفی مانند FIDO Alliance همکاری کرده است تا یک تکنولوژی کلید امنیتی به‌نام U2F را توسعه دهند.

پژوهشی در سال ۲۰۱۶ گوگل نشان داد که تایید دومرحله‌ای مبتنی بر پیام متنی یا برنامه‌های کاربردی که گاهی اوقات با تعبیر گذرواژه‌ی یک‌دفعه‌ای از آن یاد می‌شود، به‌طور متوسط دارای نرخ شکست ۳ درصد هستند. این در حالی است که رهیافت U2F یا کلید امنیتی گوگل دارای نرخ شکست صفر بوده است.

منبع: زومیت
تاریخ: ۹۷/۵/۳