Hoe Google je gegevens beveiligt

Mr. Pietraszek, u en uw team zijn verantwoordelijk voor de beveiliging van gebruikersaccounts. Hoe voorkomt u dat hackers toegang krijgen?

Tadek Pietraszek, hoofdsoftware-engineer voor de beveiliging van gebruikersaccounts: Ten eerste is het belangrijk dat we de eerste aanval kunnen ontdekken. We gebruiken meer dan honderd variabelen om verdachte activiteiten te identificeren. Stel, je woont in Nederland en je gaat zelden naar het buitenland, maar iemand probeert toegang te krijgen tot je account vanuit een ander land. Dat doet alarmbellen rinkelen.

Stephan Micklitz, directeur Engineering bij het privacy- en beveiligingsteam van Google: Daarom vragen we je soms om het telefoonnummer te bevestigen dat je ons hebt gegeven, of andere gegevens die alleen jij als accounthouder kunt weten.

Voor Tadek Pietraszek (links) is phishing een van de grootste online beveiligingsdreigingen.

Hoe vaak komen dit soort aanvallen voor?

Pietraszek: Er vinden elke dag honderdduizenden cyberaanvallen plaats. Ons grootste probleem is dat er op internet talloze lijsten staan met namen en wachtwoorden van gebruikers die van gehackte websites zijn gestolen. Aangezien een aantal van onze gebruikers hetzelfde wachtwoord hebben voor verschillende accounts, bevatten deze lijsten ook inloggegevens voor Google-accounts.

Vormen deze lijsten de grootste beveiligingsdreiging?

Pietraszek: Ja, absoluut. Deze lijsten en het klassieke phishing. Bijna iedereen heeft weleens een e-mail gehad van criminelen die proberen om wachtwoorden van accounts te bemachtigen. Natuurlijk doen we er alles aan om te zorgen dat ze daar niet in slagen. Als we vermoeden dat een e-mail voor je inbox van Gmail verdacht is, kunnen we deze e-mail markeren met een waarschuwing zodat je die kunt controleren. We kunnen de e-mail er ook automatisch uit filteren. Onze Chrome-browser stuurt ook meldingen als je een site probeert te bezoeken waarvan we weten dat het een phishing-website is.

Micklitz: Er zijn 2 basistypen van phishingaanvallen. De bulkmails, die criminelen gebruiken om zoveel mogelijk inloggegevens te verzamelen. En daarnaast heb je wat bekend staat als 'spear phishing' waarbij het account van een specifieke persoon het doelwit is. Dit kunnen geraffineerde acties zijn die meerdere maanden in beslag nemen. Tijdens zo'n periode neemt de dader het leven van het slachtoffer onder de loep en voert die een doelgerichte aanval uit.

"Als we vermoeden dat een e-mail voor je Gmail-inbox verdacht is, kunnen we deze e-mail markeren met een waarschuwing."

Tadek Pietraszek

Hoe helpt Google gebruikers om te voorkomen dat dit soort aanvallen succesvol zijn?

Pietraszek: Een voorbeeld is ons systeem van tweestapsverificatie. Veel gebruikers kennen dit soort systeem van hun online bankrekeningen. Als je bijvoorbeeld geld wilt overmaken, moet je misschien zowel je wachtwoord invoeren als een code die via sms wordt gestuurd. Google introduceerde tweefactorauthenticatie in 2009, wat eerder was dan de meeste andere grote e-mailproviders. Bovendien krijgen Google-gebruikers die hun mobiele nummer registreren automatisch een vergelijkbaar beschermingsniveau tegen verdachte inlogpogingen.

Micklitz: Tweefactorauthenticatie is een goede methode, maar zelfs codes via tekstberichten kunnen onderschept worden. Criminelen kunnen bijvoorbeeld contact opnemen met je mobiele provider om te proberen een tweede simkaart toegestuurd te krijgen. Verificatie met een fysiek beveiligingstoken, zoals een bluetoothzender of een USB-stick, is nog veiliger.

Pietraszek: We gebruiken dit hulpmiddel als onderdeel van ons programma Geavanceerde beveiliging.

Wat is dat?

Pietraszek: Het programma Geavanceerde beveiliging werd in 2017 door Google geïntroduceerd en is bedoeld voor mensen die een groter risico lopen om gehackt te worden, zoals journalisten, CEO's, politieke dissidenten en politici.

Micklitz: Naast onze fysieke beveiligingssleutel beperken we ook de toegang tot gegevens voor apps van derden. We doen dit door aanvullende stappen te implementeren waarbij gebruikers hun identiteit moeten bevestigen als ze de sleutel kwijtraken.

Directeur Engineering Stephan Micklitz is verantwoordelijk voor wereldwijde privacy en beveiliging bij Google. Hij studeerde informatica aan de Technische Universiteit München en werkt sinds eind 2007 op het kantoor van Google in München.

Kunt u ons over een grote cyberaanval vertellen en hoe u daarop reageerde?

Pietraszek: Een dergelijke aanval vond begin 2017 plaats. Hackers hadden een schadelijk malwareprogramma gemaakt om toegang te krijgen tot de Google-accounts van de slachtoffers en nepmails naar de contacten van de gebruikers te sturen. In deze e-mails werden ontvangers gevraagd om toegang te verlenen tot een nepdocument van Google. Degenen die dat deden, gaven onbedoeld toegang tot de malware en stuurden automatisch dezelfde nepmails naar hun eigen contacten. Het virus verspreidde zich razendsnel. We hebben noodplannen voor dit soort situaties.

Micklitz: In dit geval, bijvoorbeeld, hebben we de verspreiding van deze e-mails in Gmail geblokkeerd, de toegang die het programma had gekregen ingetrokken en de accounts beveiligd. Natuurlijk hebben we ook systematische waarborgen toegevoegd, zodat het in de toekomst moeilijker wordt om vergelijkbare aanvallen te plegen. Google-accounts worden continu aangevallen en onze geautomatiseerde systemen geven de meest effectieve bescherming. Dit hangt er natuurlijk van af of wij onze gebruikers op een andere manier kunnen bereiken dan op hun Google-account, zoals via een tweede e-mailadres of een mobiel telefoonnummer.

"Het is in feite meestal genoeg als je je aan een paar basisregels houdt."

Stephan Micklitz

Hoe belangrijk is beveiliging voor de gemiddelde gebruiker?

Pietraszek: Veel mensen vinden het heel belangrijk, maar de nodige beveiligingsmaatregelen nemen kan een gedoe zijn. Dit verklaart bijvoorbeeld waarom mensen vaak hetzelfde wachtwoord gebruiken voor meerdere accounts, wat de grootste fout is die je kunt maken. Onze taak is om aan gebruikers uit te leggen hoe ze hun accounts kunnen beschermen met zo weinig mogelijk inspanning. Daarom bieden we de functie Beveiligingscheck in Google-accounts, waarmee gebruikers hun instellingen makkelijk kunnen controleren.

Micklitz: Het is in feite meestal genoeg als je je aan een paar basisregels houdt.

Welke regels zijn dat?

Micklitz: Gebruik niet hetzelfde wachtwoord voor meerdere services, installeer beveiligingsupdates en vermijd verdachte software. Geef een telefoonnummer of een alternatief e-mailadres op zodat je op een andere manier te bereiken bent. En activeer de schermvergrendeling van je telefoon om het moeilijker te maken voor onbevoegde personen om toegang te krijgen. Deze stappen op zichzelf zijn een goed begin.

.

Foto's: Conny Mirbach