Hvordan Google holder dataene dine trygge
Nettkriminelle bruker en rekke metoder for å kapre brukerkontoer – fra hacking og nettfisking til skadelig programvare. Googles Stephan Micklitz og Tadek Pietraszek sørger for at de ikke lykkes.
Mr. Pietraszek, du og teamet ditt er ansvarlige for å holde brukerkontoer sikre. Hvordan hindrer dere hackere i å få tilgang?
Tadek Pietraszek, Principal Software Engineer for brukerkontosikkerhet: For det første er det viktig at vi klarer å oppdage det første angrepet. Vi bruker mer enn hundre variabler for å identifisere mistenkelig aktivitet. Tenk deg at du bor i Tyskland, at du sjeldent reiser til utlandet, og at noen prøver å få tilgang til kontoen din fra et annet land – dette utløser alarmer.
Stephan Micklitz, Director of Engineering for Googles team for personvern og sikkerhet: Derfor ber vi deg noen ganger om å bekrefte telefonnummeret du har gitt oss, eller oppgi annen informasjon som bare du som kontoeier har kjennskap til.
Hvor ofte forekommer denne slags angrep?
Pietraszek: Flere hundre tusen nettangrep utføres hver dag. Det største problemet vårt er at internett inneholder utallige lister over brukernavn og passord som er stjålet fra hackede nettsteder. Ettersom en del av brukerne våre har samme passord for ulike kontoer, omfatter disse listene også påloggingsdata for Google-kontoen.
Utgjør disse listene den største sikkerhetstrusselen?
Pietraszek: Ja, absolutt. Og i tillegg kommer klassiske nettfiskingangrep. Nesten alle har mottatt e-postmeldinger fra kriminelle som prøver å tilegne seg kontopassord. Naturligvis gjør vi det vi kan for å sikre at de ikke lykkes. Hvis vi synes at en e-postmelding på vei til Gmail-innboksen din ser mistenkelig ut, kan vi markere den med en advarsel, slik at du kan ta en nærmere titt, eller vi kan filtrere den ut automatisk. Chrome-nettleseren vår sender også varsler når du prøver å besøke et nettsted som vi vet er et nettfiskingnettsted.
Micklitz: Det finnes to grunnleggende typer nettfisking. Masse-e-postmeldingene som gjerningspersonene bruker til å samle inn så mye påloggingsdata som mulig, og det som er kjent som «spydfisking», der de målretter mot en spesifikk persons konto. Dette kan være ganske sofistikerte operasjoner som går over flere måneder. I løpet av den tiden gransker gjerningspersonen offerets liv i detalj og setter i gang et høyst målrettet angrep.
«Hvis vi synes at en e-postmelding på vei til Gmail-innboksen din ser mistenkelig ut, kan vi markere den med en advarsel.»
Tadek Pietraszek
Hvordan hjelper Google brukerne sine med å forhindre slike angrep fra å lykkes?
Pietraszek: Ett eksempel er systemet vårt for totrinnsbekreftelse. Mange brukere er kjent med slike systemer fra nettbankkontoene sine. Hvis du for eksempel vil overføre penger, kan det være nødvendig å skrive inn både passordet ditt og en kode sendt via SMS. Google innførte totrinnsbekreftelse i 2009, og dette var tidligere enn de fleste andre store e-postleverandører. I tillegg kan Google-brukere som har registrert mobilnummeret sitt, automatisk dra nytte av et lignende beskyttelsesnivå mot mistenkelige påloggingsforsøk.
Micklitz: Totrinnsbekreftelse er en god metode, men selv SMS-koder kan fanges opp. Kriminelle kan for eksempel kontakte mobilleverandøren din og prøve å få tilsendt et ekstra SIM-kort. Autentisering med et fysisk sikkerhetstoken, for eksempel en Bluetooth-sender eller en USB-pinne, er enda sikrere.
Pietraszek: Vi bruker denne ressursen som del av Avansert beskyttelse-programmet.
Hva er det?
Pietraszek: Avansert beskyttelse-programmet ble innført av Google i 2017 og er ment for folk som er mer utsatt for å bli hacket, for eksempel journalister, administrerende direktører, politiske dissidenter og politikere.
Micklitz: I tillegg til den fysiske sikkerhetsnøkkelen vår begrenser vi også datatilgang fra tredjepartsapper ved å bygge inn flere trinn for bekreftelse av identitet for brukere som har mistet nøkkelen sin.
Kan du fortelle oss om et stort nettangrep og hvordan du reagerte på det?
Pietraszek: Et slikt angrep skjedde tidlig i 2017. Hackere hadde laget et skadelig program for å få tilgang til ofrenes Google-kontoer og sende falske e-postmeldinger til brukernes kontakter. I disse e-postmeldingene ble mottakere bedt om å gi tilgang til et falskt Google-dokument. De som gjorde dette, ga ufrivillig tilgang til den skadelige programvaren og sendte automatisk de samme falske e-postmeldingene til sine egne kontakter. Viruset spredde seg raskt. Vi har beredskapsplaner for slike situasjoner.
Micklitz: I dette spesifikke tilfellet blokkerte vi for eksempel distribusjonen av disse e-postmeldingene i Gmail, trakk tilbake tilgangen gitt til programmet og sikret kontoene. Vi la også selvfølgelig til systematiske sikkerhetsmekanismer for å gjøre lignende angrep vanskeligere å utføre i fremtiden. Google-kontoer er kontinuerlig under angrep, og de automatiserte systemene våre gir den mest effektive beskyttelsen. Dette avhenger selvsagt av at vi kan nå brukerne våre via midler utenom Google-kontoen deres – gjerne en sekundær e-postadresse eller et mobiltelefonnummer.
«Faktisk er det vanligvis tilstrekkelig å følge noen enkle regler.»
Stephan Micklitz
Hvor viktig er sikkerhet for den gjennomsnittlige brukeren?
Pietraszek: For mange mennesker er det svært viktig, men det kan være tidkrevende å ta de nødvendige forholdsreglene for sikkerhet. Dette forklarer for eksempel hvorfor folk ofte bruker samme passord for flere kontoer – som faktisk er den største feilen du kan gjøre. Rollen vår er å forklare brukerne hvordan de kan beskytte kontoene sine med minst mulig innsats. Derfor tilbyr vi funksjonen Sikkerhetssjekk i Google-kontoen, som gjør det mulig for brukerne å kontrollere innstillingene sine enkelt.
Micklitz: Faktisk er det vanligvis tilstrekkelig å følge noen enkle regler.
Hva er de reglene?
Micklitz: Ikke bruk samme passord for flere tjenester, installer sikkerhetsoppdateringer, og unngå mistenkelig programvare. Oppgi et telefonnummer eller en alternativ e-postadresse, slik at du kan nås på andre måter. Og aktivér telefonens skjermlås for å gjøre det vanskeligere for uautoriserte personer å få tilgang. Disse trinnene er en god start.
Bilder: Conny Mirbach
Fremskritt innen cybersikkerhet
Finn ut hvordan vi holder flere folk trygge på nettet enn noen andre i verden.
Finn ut mer