Cara Google menjaga keamanan data Anda
Mulai dari peretasan, phishing, hingga malware, penjahat siber menggunakan beragam metode untuk membajak akun pengguna. Stephan Micklitz dan Tadek Pietraszek dari Google memastikan kejahatan tersebut tidak berhasil dilakukan.
Pietraszek, Anda dan tim bertanggung jawab menjaga keamanan akun pengguna. Bagaimana cara Anda mencegah peretas mendapatkan akses?
Tadek Pietraszek, Principal Software Engineer untuk keamanan akun pengguna: Pertama, sangat penting bagi kami untuk bisa mendeteksi serangan awal. Kami menggunakan lebih dari seratus variabel untuk mengidentifikasi aktivitas mencurigakan. Misalkan Anda tinggal di Jerman, sangat jarang bepergian ke luar negeri, dan seseorang mencoba mengakses akun Anda dari negara lain. Hal ini kami deteksi sebagai aktivitas mencurigakan.
Stephan Micklitz, Director of Engineering tim Privasi dan Keamanan Google: Itulah sebabnya terkadang kami meminta Anda mengonfirmasi nomor telepon yang Anda berikan kepada kami atau informasi lain yang seharusnya diketahui hanya oleh Anda sebagai pemegang akun.
Seberapa sering serangan semacam ini terjadi?
Pietraszek: Ratusan ribu serangan siber diluncurkan setiap hari. Masalah terbesar kami adalah internet berisi daftar nama pengguna dan sandi dalam jumlah besar yang dicuri dari situs yang diretas. Karena sejumlah pengguna kami memiliki sandi yang sama untuk akun yang berbeda, daftar ini juga mencakup data login Akun Google.
Apakah daftar ini memberikan ancaman keamanan paling serius?
Pietraszek: Ya, tentu saja. Itu dan serangan phishing pada umumnya. Hampir setiap orang pernah menerima email dari penjahat yang mencoba mendapatkan sandi akun. Tentu saja, kami melakukan tugas kami untuk memastikan hal tersebut dapat digagalkan. Jika menurut kami email yang masuk ke kotak masuk Gmail Anda terlihat mencurigakan, kami dapat menandainya dengan peringatan. Jadi, Anda dapat memeriksanya lebih lanjut atau kami dapat otomatis memfilternya. Browser Chrome kami juga mengirimkan peringatan saat Anda mencoba membuka situs yang kami deteksi sebagai situs phishing.
Micklitz: Ada dua jenis dasar phishing. Email massal, yang digunakan pelaku untuk mengumpulkan data login sebanyak mungkin, dan yang dikenal sebagai “spear phishing,” yakni saat pelaku menargetkan akun pengguna tertentu. Serangan ini bisa menjadi operasi yang terorganisir yang berlangsung selama beberapa bulan. Selama itu, pelaku memeriksa kehidupan korban secara mendetail dan meluncurkan serangan yang ditargetkan.
"Jika menurut kami email yang masuk ke kotak masuk Gmail Anda terlihat mencurigakan, kami dapat menandainya dengan peringatan."
Tadek Pietraszek
Bagaimana cara Google membantu pengguna menggagalkan serangan semacam itu?
Pietraszek: Satu contohnya adalah sistem Verifikasi 2 Langkah. Banyak pengguna sudah tidak asing dengan sistem semacam ini karena digunakan di akun bank online. Misalnya, jika Anda ingin mentransfer uang, Anda mungkin perlu memasukkan sandi serta kode yang dikirim melalui SMS. Google memperkenalkan autentikasi 2 langkah pada tahun 2009, lebih awal dibandingkan sebagian besar penyedia email besar lainnya. Selain itu, pengguna Google yang telah mendaftarkan nomor ponselnya otomatis mendapatkan manfaat dari tingkat perlindungan serupa terhadap upaya login yang mencurigakan.
Micklitz: Autentikasi 2 langkah merupakan metode yang bagus, tetapi kode SMS juga dapat disadap. Misalnya, para penjahat mungkin menghubungi operator seluler Anda dan berupaya agar kartu SIM kedua dikirimkan ke mereka. Autentikasi dengan token keamanan fisik, seperti pemancar Bluetooth atau stik USB, jauh lebih aman.
Pietraszek: Kami menggunakan metode ini sebagai bagian dari Program Perlindungan Lanjutan.
Apa itu?
Pietraszek: Program Perlindungan Lanjutan diperkenalkan oleh Google pada tahun 2017 dan ditujukan untuk orang-orang yang berisiko lebih besar menjadi target peretasan, seperti jurnalis, CEO, oposisi politik, dan politisi.
Micklitz: Selain Kunci Keamanan fisik, kami juga membatasi akses data dari aplikasi pihak ketiga dengan menyertakan langkah-langkah tambahan yang mengharuskan pengguna memverifikasi identitasnya jika kehilangan kunci.
Bisakah Anda menceritakan kasus serangan siber yang berdampak serius dan cara Anda menanganinya?
Pietraszek: Salah satu serangan ini terjadi pada awal tahun 2017. Saat itu peretas membuat program berbahaya untuk mendapatkan akses ke Akun Google korban dan mengirim email palsu ke kontak pengguna. Dalam email ini, penerima diminta untuk memberikan akses ke dokumen Google palsu. Mereka yang menurutinya tanpa sadar memberikan akses ke malware dan secara otomatis mengirim email palsu yang sama ke kontak mereka sendiri. Virusnya menyebar dengan cepat. Kami memiliki rencana pencegahan untuk situasi seperti ini.
Micklitz: Dalam kasus khusus ini, misalnya, kami memblokir distribusi email ini di Gmail, mencabut akses yang diberikan ke program, dan mengamankan akun. Tentu saja, kami juga telah menambahkan pengamanan sistematis agar serangan serupa tidak mudah terjadi di masa mendatang. Akun Google mengalami serangan terus-menerus dan sistem otomatis kami menawarkan perlindungan yang paling efektif. Hal ini tentu saja bergantung pada kemampuan kami untuk menjangkau para pengguna kami selain melalui Akun Google mereka, yaitu melalui alamat email kedua atau nomor ponsel.
"Sebenarnya, terus menerapkan sejumlah aturan dasar biasanya sudah cukup."
Stephan Micklitz
Seberapa penting keamanan bagi pengguna biasa?
Pietraszek: Banyak orang menganggapnya sangat penting, tetapi melakukan tindakan pencegahan yang diperlukan demi keamanan dapat merepotkan. Hal ini menjelaskan, misalnya, alasan orang-orang sering menggunakan sandi yang sama untuk beberapa akun. Tentunya, tindakan ini sangat berisiko. Tugas kami adalah menjelaskan kepada pengguna cara melindungi akun miliknya tanpa perlu repot. Oleh karena itu, kami menawarkan fungsi Pemeriksaan Keamanan di Akun Google, yang memungkinkan pengguna memeriksa setelannya dengan mudah.
Micklitz: Sebenarnya, terus menerapkan sejumlah aturan dasar biasanya sudah cukup.
Dan apa saja aturan itu?
Micklitz: Jangan menggunakan sandi yang sama di berbagai layanan, instal pembaruan untuk keamanan, dan hindari software yang mencurigakan. Berikan nomor telepon atau alamat email alternatif agar Anda dapat dihubungi dengan cara lain. Selain itu, aktifkan kunci layar ponsel untuk mempersulit orang yang ingin mencoba mengaksesnya tanpa izin. Tindakan tersebut merupakan langkah awal yang bagus.
Foto oleh: Conny Mirbach
Kemajuan dalam pengamanan cyber
Pelajari lebih lanjut bagaimana kami melindungi lebih banyak orang di internet dibanding penyedia teknologi lain.
Pelajari lebih lanjut