Cara Google memastikan data anda selamat

En. Pietraszek, anda dan pasukan anda bertanggungjawab untuk memastikan akaun pengguna selamat. Bagaimanakah anda menghalang perampas daripada memperoleh akses?

Tadek Pietraszek, Jurutera Perisian Utama untuk keselamatan akaun pengguna: Pertama sekali, penting untuk kami dapat mengesan serangan awal. Kami menggunakan lebih daripada seratus pemboleh ubah untuk mengenal pasti aktiviti yang mencurigakan. Katakan anda tinggal di Jerman, amat jarang melancong ke luar negara dan seseorang cuba mengakses akaun anda dari negara lain – hal itu akan mencetuskan penggera.

Stephan Micklitz, Pengarah Kejuruteraan bagi pasukan Privasi dan Keselamatan Google: Itulah sebabnya kadangkala kami meminta anda mengesahkan nombor telefon yang anda berikan kepada kami atau maklumat lain yang hanya anda sebagai pemegang akaun yang tahu.

Bagi Tadek Pietraszek (kiri), pancingan data merupakan salah satu ancaman keselamatan dalam talian yang terbesar.

Berapa kerapkah jenis serangan ini berlaku?

Pietraszek: Ratusan ribu serangan siber dilancarkan setiap hari. Masalah kami yang paling besar adalah Internet mengandungi banyak senarai nama pengguna dan kata laluan yang dicuri daripada laman web yang digodam. Memandangkan sebilangan pengguna kami mempunyai kata laluan yang sama untuk beberapa akaun yang berlainan, senarai ini juga termasuk data log masuk Google Account.

Adakah senarai ini menimbulkan ancaman keselamatan yang terbesar?

Pietraszek: Ya, tepat sekali. Itu dan serangan pancingan data klasik. Hampir semua orang pernah menerima e-mel daripada penjenayah yang cuba mendapatkan kata laluan akaun. Sememangnya, kami memainkan peranan kami untuk memastikan mereka tidak berjaya. Jika kami berpendapat e-mel yang ditujukan ke peti masuk Gmail anda kelihatan mencurigakan, kami boleh menandai e-mel itu dengan amaran supaya anda boleh menelitinya atau kami boleh menapisnya secara automatik. Penyemak imbas Chrome kami juga menghantar makluman apabila anda cuba melawati laman yang kami tahu merupakan laman web pancingan data.

Micklitz: Terdapat dua jenis asas pancingan data. E-mel besar-besaran, yang digunakan penyerang untuk mengumpulkan data log masuk sebanyak mungkin, dan jenis yang dikenali sebagai “pancingan data bersasaran”, yang menyasarkan akaun orang tertentu. Tindakan ini boleh menjadi operasi yang agak canggih yang berlangsung selama beberapa bulan. Sepanjang tempoh itu, penyerang meneliti kehidupan mangsa secara terperinci dan melancarkan serangan yang amat bertumpu.

"Jika kami berpendapat e-mel yang ditujukan ke peti masuk Gmail anda kelihatan mencurigakan, kami boleh menandai e-mel itu dengan amaran".

Tadek Pietraszek

Bagaimanakah cara Google membantu pengguna menghalang serangan sedemikian daripada berjaya?

Pietraszek: Satu contoh ialah sistem Pengesahan 2 Langkah kami. Ramai pengguna biasa dengan sistem seperti ini daripada akaun bank dalam talian mereka. Contohnya, jika anda ingin memindahkan wang, anda mungkin perlu memasukkan kata laluan anda dan kod yang dihantar melalui teks. Google memperkenalkan pengesahan dua faktor pada tahun 2009, yang lebih awal daripada kebanyakan pembekal e-mel utama yang lain. Selain itu, pengguna Google yang telah mendaftarkan nombor telefon mudah alih mereka mendapat manfaat daripada tahap perlindungan yang serupa daripada percubaan log masuk yang mencurigakan secara automatik.

Micklitz: Pengesahan dua faktor merupakan kaedah yang baik tetapi kod mesej teks pun boleh dipintas. Contohnya, penjenayah mungkin menghubungi penyedia mudah alih anda dan cuba mendapatkan kad SIM kedua. Pengesahan dengan token keselamatan fizikal, seperti pemancar Bluetooth atau batang USB, adalah lebih selamat.

Pietraszek: Kami menggunakan sumber ini sebagai sebahagian daripada Program Perlindungan Lanjutan kami.

Apakah itu?

Pietraszek: Program Perlindungan Lanjutan telah diperkenalkan oleh Google pada tahun 2017 dan bertujuan untuk melindungi orang yang berisiko lebih tinggi untuk digodam, seperti wartawan, CEO, pembangkang politik dan ahli politik.

Micklitz: Selain Kunci Keselamatan fizikal, kami juga mengehadkan akses data daripada apl pihak ketiga dengan menggabungkan langkah tambahan yang menghendaki pengguna mengesahkan identiti mereka jika mereka kehilangan kunci tersebut.

Pengarah Kejuruteraan Stephan Micklitz bertanggungjawab terhadap privasi dan keselamatan global di Google. Beliau mengambil jurusan sains komputer di Universiti Teknikal Munich dan telah bekerja di pejabat Google di Munich sejak penghujung tahun 2007.

Bolehkah anda beritahu kami tentang serangan siber yang besar dan cara anda bertindak balas terhadap perkara itu?

Pietraszek: Salah satu serangan ini berlaku pada awal tahun 2017. Penggodam mencipta atur cara hasad untuk mendapatkan akses kepada Google Account mangsa dan menghantar e-mel palsu kepada kenalan pengguna. Dalam e-mel ini, penerima diminta memberikan akses kepada dokumen Google yang palsu. Mereka yang berbuat demikian secara tidak sengaja telah memberikan akses kepada perisian hasad dan menghantar e-mel palsu yang sama kepada kenalan mereka sendiri secara automatik. Virus tersebut merebak dengan cepat. Kami mempunyai rancangan luar jangka untuk situasi seperti ini.

Micklitz: Dalam kes khusus ini, sebagai contoh, kami telah menyekat pengedaran e-mel ini dalam Gmail, membatalkan akses yang diberikan kepada atur cara tersebut dan melindungi akaun yang terlibat. Sudah tentu, kami juga telah menambah perlindungan sistematik untuk menjadikan serangan yang serupa lebih sukar pada masa yang akan datang. Google Account tidak henti-henti diserang dan sistem automatik kami menawarkan perlindungan yang paling berkesan. Sudah tentu, hal ini bergantung pada keupayaan kami menghubungi pengguna kami melalui cara selain Google Account mereka - iaitu, alamat e-mel kedua atau nombor telefon mudah alih.

"Sebenarnya, berpegang pada beberapa peraturan asas sahaja biasanya sudah memadai".

Stephan Micklitz

Sejauh manakah kepentingan keselamatan bagi pengguna biasa?

Pietraszek: Ramai orang menganggap keselamatan amat penting tetapi tindakan mengambil langkah berjaga-jaga keselamatan yang diperlukan boleh menjadi satu tugas yang menjemukan. Ini menjelaskan, sebagai contoh, sebab orang sering menggunakan kata laluan yang sama untuk berbilang akaun – yang merupakan kesilapan paling buruk yang boleh anda lakukan. Tugas kami adalah menjelaskan kepada pengguna cara mereka boleh melindungi akaun mereka dengan usaha yang minimum. Itulah sebabnya kami menawarkan fungsi Pemeriksaan Keselamatan dalam Google Account, yang membolehkan pengguna menyemak tetapan mereka dengan mudah.

Micklitz: Sebenarnya, berpegang pada beberapa peraturan asas sahaja biasanya sudah memadai.

Apakah peraturan tersebut?

Micklitz: Jangan gunakan kata laluan yang sama untuk berbilang perkhidmatan, pasang kemaskinian keselamatan dan elakkan perisian yang mencurigakan. Berikan nombor telefon atau alamat e-mel alternatif supaya anda boleh dihubungi melalui cara lain. Selain itu, dayakan kunci skrin telefon anda untuk menjadikannya lebih sukar bagi individu yang tidak dibenarkan untuk mendapatkan akses. Langkah ini sahaja pun sudah merupakan permulaan yang baik.

.

Foto: Conny Mirbach