هیچیک از ۸۵ هزار نیروی گوگل، پس از استفاده از ابزار امنیتی جدید این شرکت، مورد سرقت اطلاعاتی یا فیشینگ واقع نشدهاند.
یکی از رایجترین روشهایی که افراد هک میشوند، فیشینگ یا Sparphishing است.
اساسا، مهاجمان یا سارقان اطلاعات، ایمیلی را ایجاد میکنند که از نظر ظاهری کاملا طبیعی بهنظر میرسد و کاربر را ترغیب به کلیک روی آن میکند. ایمیل ساختهشده توسط آنها میتواند شبیه به یک پیام صورتحساب مالی یا پیامی از سوی یک شرکت یا سرویس شناختهشده پیرامون تغییر گذرواژهتان باشد. کاربران بیخبر از اصل موضوع، معمولاً روی این لینکها کلیک میکنند و با این کلیک به پایگاههایی منتقل میشوند که دارای ظاهر کاملا قانونی و نرمال هستند. فرد قربانی یا مورد سرقت واقعشده، نام کاربری و گذرواژهی خود را بدون هیچ درنگی در این سایت وارد کرده و به این ترتیب اطلاعات کلیدی خود را در اختیار سارقین قرار میدهد. پس از این کار، احتمال قابلتوجهی وجود دارد مبنی بر اینکه حساب کاربری فرد هک شود.
بنا به اعلام وزارت دادگستری ایالات متحده، Spearphishing یکی از اصلیترین روشهایی بود که جاسوسان روسی با استفاده از آن موفق به نفوذ در شبکهی کمیته ملی دموکراتیک پیش از انتخابات ریاست جمهوری سال ۲۰۱۶ آمریکا شده بودند.
این یک مشکل بزرگ برای کسبوکارها محسوب میشود. شما بهعنوان یک کاربر یا صاحب کسبوکار، این امکان را دارید که از ایمن بودن کامپیوترهای خودتان تا جای ممکن اطمینان حاصل کنید. اما نباید غافل شد که همهی این اقدامات میتوانند تنها با کوتاهی یا بیتوجهی یک کارمند دارای دسترسی به اطلاعات حساس، بیاثر شوند. چنین اتفاقی در نهایت منجر به یک نفوذ یا سرقت اطلاعاتی خواهد شد.
با این حال، بهنظر میرسد یک شرکت بزرگ موفق به حل مسئلهی فیشینگ شده است: گوگل. این موفقیت با اتکا به یک ابزار ۲۰ دلاری موسوم به کلید امنیتی یا Security-key بهدست آمده است؛ ابزاری که گوگل، کارمندان خود را به استفاده از آن ملزم میکند.
بنا به اعلام کمپانی، هیچ یک از ۸۵ هزار کارمند گوگل پس از شروع به استفاده از این ابزار برای لاگین شدن در حسابهای کاربری خودشان، مورد سرقت اطلاعاتی یا فیشینگ قرار نگرفتهاند. گوگل اعلام کرده است:
ما پس از بهکارگیری این کلیدهای امنیتی در شرکت گوگل، هیچ گزارش یا تاییدی پیرامون نفوذ یا سرقت از صاحبان حسابهای کاربری نداشتهایم.
بر اساس گزارش برایان کربس، روزنامهنگار امنیتی که موفقیت گوگل را در برابر تلاشهای فیشینگ، برای نخستین بار گزارش داد، این شرکت از اوایل سال ۲۰۱۷ میلادی شروع به الزام کارکنان خود برای استفاده از کلیدهای امنیتی فیزیکی بهمنظور مقابله با فیشینگ کرده است.
شرکتهای دیگر و حتی شرکتی که شما در آن کار میکنید، ممکن است کارمندان را به استفاده از روش تایید دومرحلهای ملزم کرده باشند. به این معنی که هنگام ورود به سیستم با یک نام کاربری و گذرواژه، باید رمز دومی را هم وارد کنید. نتیجهی این ورود معمولا بهصورت پیام کوتاه یا از طریق یک برنامه به آن کاربر ارسال میشود.
بر طبق نظر کربس، Google این فرآیند تایید دومرحلهای متداول را یک گام جلوتر برده است و همهی کارکنان خود را به استفاده از کلیدهای امنیتی ملزم ساخته است. کاربر یا کارمند، بهجای گرفتن متن پس از وارد کردن گذرواژهی خود، کافی است تا فقط کلید امنیتی خود را به پورت USB در کامپیوتر وصل کرده و یک دکمه را فشار دهد.
این کار یک موفقیت بزرگ برای شرکت بزرگی همچون گوگل است. گوگل دادههای حساس زیادی در اختیار دارد و اینکه بدانیم کارمندان شرکت طعمهی فیشینگ یا سرقت اطلاعاتی نمیشوند، به خودی خود دلگرمکننده است.
کاربران عادی هم میتوانند از این کلید امنیتی همراه حساب کاربری جیمیل خود استفاده کنند. مدلهای YubiKey سازگار با USB، USB-C و دستگاههای تلفن همراه، از Yubico در دسترس هستند.
گوگل در ماه اکتبر سال گذشتهی میلادی (پاییز سال پیش)، یک برنامهی پیشرفته حفاظتی شامل کلیدهای امنیتی را برای افرادی راهاندازی کرد که در معرض بیشترین خطر بودند؛ افرادی از جمله روزنامهنگاران، رهبران و فعالان دنیای کسبوکارهای بزرگ. گوگل همچنین با گروههای صنعتی مختلفی مانند FIDO Alliance همکاری کرده است تا یک تکنولوژی کلید امنیتی بهنام U2F را توسعه دهند.
پژوهشی در سال ۲۰۱۶ گوگل نشان داد که تایید دومرحلهای مبتنی بر پیام متنی یا برنامههای کاربردی که گاهی اوقات با تعبیر گذرواژهی یکدفعهای از آن یاد میشود، بهطور متوسط دارای نرخ شکست ۳ درصد هستند. این در حالی است که رهیافت U2F یا کلید امنیتی گوگل دارای نرخ شکست صفر بوده است.
منبع : businessinsider