Hoe Google je gegevens beveiligt
Cybercriminelen gebruiken een scala aan methoden, van hacken en phishing tot malware om online gebruikersaccounts te kapen. Stephan Micklitz en Tadek Pietraszek van Google zorgen ervoor dat ze hier niet in slagen.
Tadek Pietraszek werkt sinds 2006 voor Google in Zürich, waar hij aan het hoofd van een groot team van deskundigen staat. Pietraszek promoveerde in 2006 in informatica aan de Albert Ludwigs Universiteit in Freiburg.
Mr. Pietraszek, u en uw team zijn verantwoordelijk voor de beveiliging van gebruikersaccounts. Hoe voorkomt u dat hackers toegang krijgen?
Tadek Pietraszek, hoofdsoftware-engineer voor de beveiliging van gebruikersaccounts: Ten eerste is het belangrijk dat we de eerste aanval kunnen ontdekken. We gebruiken meer dan honderd variabelen om verdachte activiteiten te identificeren. Stel, je woont in Duitsland en je gaat zelden naar het buitenland en iemand probeert om toegang te krijgen tot je account vanuit een ander land, dat slaat alarm.
Stephan Micklitz, directeur engineering bij het privacy- en beveiligingsteam van Google: Daarom vragen we je soms om het telefoonnummer te bevestigen dat je ons hebt gegeven, of andere gegevens die alleen jij als accounthouder kunt weten.
Voor Tadek Pietraszek (links), is phishing een van de grootste online veiligheidsrisico's.
Hoe vaak komen dit soort aanvallen voor?
Pietraszek: Er zijn elke dag honderdduizenden cyberaanvallen. Ons grootste probleem is dat er op internet talloze lijsten staan met namen en wachtwoorden van gebruikers die van gehackte websites zijn gestolen. Aangezien een aantal van onze gebruikers hetzelfde wachtwoord hebben voor verschillende accounts, bevatten deze lijsten ook inloggegevens voor Google-accounts.
Vormen deze lijsten het grootste veiligheidsrisico?
Pietraszek: Ja, absoluut. Deze lijsten en het klassieke phishing. Bijna iedereen heeft weleens een e-mail gehad van criminelen die proberen om wachtwoorden van accounts te bemachtigen. Natuurlijk doen we er alles aan om te zorgen dat ze daar niet in slagen. Als we vermoeden dat een e-mail voor je inbox van Gmail verdacht lijkt, kunnen we deze e-mail markeren met een waarschuwing zodat je hem kunt checken. We kunnen de e-mail er ook automatisch uit filteren. Onze Chrome-browser stuurt ook waarschuwingen als je een site probeert te bezoeken waarvan we weten dat het een phishing-website is.
Micklitz: Er zijn twee basistypen phishing. De bulkmails, die misdadigers gebruiken om zoveel mogelijk inloggegevens te verzamelen. En daarnaast heb je wat bekend staat als 'spear phishing' waarbij het account van een specifieke persoon het doelwit is. Dit kunnen geraffineerde handelingen zijn die meerdere maanden in beslag nemen. In deze periode neemt de dader het leven van het slachtoffer onder de loep en voert hij een doelgerichte aanval uit.
"Als we vinden dat een e-mail voor je Gmail-inbox verdacht lijkt, kunnen we deze e-mail markeren met een waarschuwing."
Tadek Pietraszek
Hoe helpt Google gebruikers om te voorkomen dat zulke aanvallen succesvol zijn?
Pietraszek: Eén voorbeeld daarvan is ons systeem voor verificatie in 2 stappen. Veel gebruikers kennen dit soort systeem van hun bankrekeningen. Als je bijvoorbeeld geld wilt overmaken, voer je mogelijk je wachtwoord in en een code die via sms wordt gestuurd. Google introduceerde verificatie in 2 stappen in 2009, wat eerder was dan de meeste andere e-mailproviders. Bovendien krijgen Google-gebruikers die hun mobiele telefoonnummer registreren automatisch een vergelijkbaar beschermingsniveau tegen verdachte inlogpogingen.
Micklitz: Verificatie in 2 stappen is een goede methode, maar zelfs codes via sms'jes kunnen onderschept worden. Criminelen kunnen bijvoorbeeld contact opnemen met je telecomprovider en proberen een tweede simkaart toegestuurd te krijgen. Verificatie met een fysiek beveiligingstoken, zoals een bluetoothzender of een USB-stick, is nog veiliger.
Pietraszek: We gebruiken dit hulpmiddel als onderdeel van ons programma voor geavanceerde beveiliging.
Wat is dat?
Pietraszek: Het programma voor geavanceerde beveiliging werd door Google in 2017 geïntroduceerd en is bedoeld voor mensen die een groter risico lopen om gehackt te worden, zoals journalisten, CEO's, politieke dissidenten en politici.
Micklitz: Naast onze fysieke beveiligingssleutel beperken we ook de toegang tot gegevens voor apps van derden. We doen dit door aanvullende stappen op te nemen waarbij gebruikers hun identiteit moeten bevestigen als ze de sleutel kwijtraken.
Directeur engineering Stephan Micklitz is verantwoordelijk voor privacy en veiligheid wereldwijd bij Google. Hij studeerde informatica aan de Technische Universiteit München en werkt sinds eind 2007 op het kantoor van Google in München.
Kunt u ons over een grote cyberaanval vertellen en hoe u daarop reageerde?
Pietraszek: Een van deze aanvallen gebeurde in het begin van 2017. Hackers hadden een schadelijk malwareprogramma gemaakt om toegang te krijgen tot de Google-accounts van de slachtoffers en nepmails naar de contacten van de gebruikers te sturen. In deze e-mails werden ontvangers gevraagd om toegang te verlenen tot een nepdocument van Google. Degenen die dat deden gaven onbedoeld toegang tot de malware en stuurden automatisch dezelfde nepmails naar hun eigen contacten. Het virus verspreidde zich heel snel. We hebben noodplannen voor dit soort situaties.
Micklitz: In dit geval bijvoorbeeld hebben we de verspreiding van deze e-mails in Gmail geblokkeerd, de toegang die het programma had gekregen ingetrokken en de accounts beveiligd. Natuurlijk hebben we ook systematische waarborgen toegevoegd, zodat het in de toekomst moeilijker wordt om vergelijkbare aanvallen te plegen. Google-accounts worden continu aangevallen en onze geautomatiseerde systemen geven de meest effectieve bescherming. Dit hangt er natuurlijk van af of wij onze gebruikers op een andere manier kunnen bereiken dan op hun Google-account, zoals via een tweede emailadres of een mobiel telefoonnummer.
"Eigenlijk is het meestal genoeg als je je aan een paar basisregels houdt."
Stephan Micklitz
Hoe belangrijk is beveiliging voor de gemiddelde gebruiker?
Pietraszek: Veel mensen vinden het heel belangrijk, maar het kan vervelend zijn om de nodige beveiligingsmaatregelen te nemen. Dit verklaart bijvoorbeeld waarom mensen vaak hetzelfde wachtwoord gebruiken voor meerdere accounts, de grootste fout die je kunt maken. Onze taak is om aan gebruikers uit te leggen hoe ze hun accounts kunnen beschermen met zo weinig mogelijk inspanning. Daarom bieden we de functie Beveiligingscheck in Google-accounts, waarmee gebruikers hun instellingen makkelijk kunnen checken.
Micklitz: Het is in feite meestal genoeg als je je aan een paar basisregels houdt.
En die regels zijn?
Micklitz: Gebruik niet hetzelfde wachtwoord voor meerdere services, installeer beveiligingsupdates en vermijd verdachte software. Geef een telefoonnummer of een alternatief e-mailadres op zodat je op een andere manier te bereiken bent. En activeer de schermvergrendeling van je telefoon om het moeilijker te maken voor onbevoegde personen om toegang te krijgen. Deze stappen op zichzelf zijn een goed begin.
Foto's: Conny Mirbach
Vooruitgang in cyberbeveiliging
Ontdek hoe we meer mensen online beschermen dan wie ook ter wereld.
Meer informatie