Jak Google dba o bezpieczeństwo Twoich danych

Cyberprzestępcy stosują różne metody atakowania kont użytkowników – od hakowania i phishingu po złośliwe oprogramowanie. Stephan Micklitz i Tadek Pietraszek z Google starają się, by te przedsięwzięcia nie kończyły się sukcesem.

Panie Pietraszek, wraz z zespołem dba pan o bezpieczeństwo kont użytkowników. Co robicie, by hakerzy nie uzyskali do nich dostępu?

Tadek Pietraszek, główny programista ds. bezpieczeństwa kont użytkowników: Przede wszystkim musimy mieć możliwość wykrycia początkowego ataku. Przy wykrywaniu podejrzanej aktywności stosujemy ponad sto zmiennych. Przypuśćmy, że mieszkasz w Niemczech, rzadko jeździsz za granicę, a ktoś usiłuje wejść na Twoje konto w innym kraju. To okoliczność alarmująca.

Stephan Micklitz, dyrektor ds. technicznych w zespole Google odpowiedzialnym za prywatność i zabezpieczenia: Dlatego czasem prosimy o potwierdzenie podanego numeru telefonu lub innych informacji, które znasz tylko Ty jako właściciel konta.

Zdaniem Tadka Pietraszka (z lewej), phishing jest jednym z największych zagrożeń online.

Jak często zdarzają się takie ataki?

Pietraszek: Codziennie przeprowadzane są setki tysięcy cyberataków. Nasz największy problem to dostępne w internecie niezliczone listy z nazwami użytkowników i hasłami skradzionymi ze zhakowanych stron. Ponieważ wielu użytkowników wykorzystuje to samo hasło na kilku kontach, na takich listach są również dane logowania na konta Google.

Czy takie listy stanowią największe zagrożenie?

Pietraszek: Zdecydowanie tak. One i klasyczne ataki typu phishing. Niemal każdy dostaje e-maile od przestępców usiłujących uzyskać hasła do kont. Oczywiście dokładamy starań, by te próby się nie powiodły. Jeśli uznamy, że e-mail trafiający do Twojej skrzynki odbiorczej w Gmailu wygląda podejrzanie, możemy dodać do niego ostrzeżenie sugerujące zwrócenie na niego większej uwagi albo automatycznie odfiltrować taką wiadomość. Przeglądarka Chrome wysyła również alerty, gdy usiłujesz otworzyć stronę, o której wiemy, że służy do wyłudzania informacji.

Micklitz: Istnieją dwa podstawowe rodzaje phishingu. Masowo wysyłane e-maile, których celem jest zgromadzenie jak największej liczby danych logowania, oraz to, co nazywamy „spear phishingiem”, gdzie atak dotyczy konta konkretnej osoby. Mogą to być bardzo wyrafinowane działania, trwające wiele miesięcy. W tym czasie przestępca poznaje szczegóły z życia ofiary i przeprowadza ukierunkowany atak.

„Jeśli uznamy, że e-mail trafiający do Twojej skrzynki odbiorczej w Gmailu wygląda podejrzanie, możemy dodać do niego ostrzeżenie”.

Tadek Pietraszek

Jak Google pomaga użytkownikom zapobiegać takim atakom?

Pietraszek: Przykładem może być nasz system weryfikacji dwuetapowej. Wielu użytkowników zna ten system z bankowości internetowej. Jeśli chcesz na przykład przesłać pieniądze, konieczne może być wpisanie hasła oraz kodu z SMS-a. W Google wprowadziliśmy uwierzytelnianie dwuskładnikowe w 2009 roku. Wcześniej niż większość innych głównych dostawców poczty e-mail. Ponadto użytkownicy Google, którzy zarejestrowali numer telefonu komórkowego, automatycznie korzystają też z podobnego poziomu ochrony przed podejrzanymi próbami logowania.

Micklitz: Uwierzytelnianie dwuskładnikowe to dobra metoda, ale nawet kody w SMS-ach można przechwycić. Przestępcy mogą na przykład skontaktować się z operatorem komórkowym i spróbować uzyskać od niego drugą kartę SIM. Uwierzytelnianie przy pomocy fizycznego tokenu zabezpieczającego, takiego jak przekaźnik Bluetooth czy klucz USB, jest bezpieczniejsze.

Pietraszek: Korzystamy z tego w ramach Programu ochrony zaawansowanej.

Co to jest?

Pietraszek: Program ochrony zaawansowanej został wprowadzony przez Google w 2017 roku. Jest przeznaczony dla osób szczególnie narażonych na atak hakera: dziennikarzy, prezesów, decydentów politycznych, innych polityków.

Micklitz: Oprócz fizycznego klucza bezpieczeństwa dostęp aplikacji innych firm do danych ogranicza też wymóg przeprowadzenia dodatkowych czynności identyfikacyjnych w przypadku utraty klucza.

Stephan Micklitz
Sicherheitsschlüssel

Dyrektor ds. technicznych Stephan Micklitz jest odpowiedzialny w Google za globalną ochronę prywatności i bezpieczeństwo. Studiował informatykę na Monachijskim Uniwersytecie Technicznym, a od końca 2007 roku pracuje w biurze Google w Monachium.

Możecie nam opowiedzieć o najpoważniejszych cyberatakach i jak na nie zareagowaliście?

Pietraszek: Jeden z nich miał miejsce na początku 2017 roku. Hakerzy stworzyli złośliwy program, by zyskać dostęp do kont Google ofiar i wysyłać fałszywe e-maile do ich kontaktów. Odbiorcy takich e-maili byli proszeni o przyznanie dostępu do fałszywego dokumentu Google. Osoby, które to zrobiły, nieumyślnie przyznawały dostęp do złośliwego oprogramowania i automatycznie wysyłały takie same fałszywe e-maile do własnych kontaktów. Wirus rozprzestrzeniał się bardzo szybko. Mamy plany awaryjne na takie sytuacje.

Micklitz: W tym konkretnym wypadku na przykład zablokowaliśmy dystrybucję tych wiadomości w Gmailu, unieważniliśmy przyznany dostęp do programu i zabezpieczyliśmy konta. Oczywiście zwiększyliśmy też liczbę systemowych środków ochrony, by utrudnić przeprowadzenie podobnych ataków w przyszłości. Konta Google są nieustannie atakowane, a nasze automatyczne systemy oferują najbardziej skuteczną ochronę. Zależy ona oczywiście od możliwości skontaktowania się z użytkownikiem w inny sposób niż przez konto Google, np. przez inny adres e-mail lub numer telefonu komórkowego.

„Tak naprawdę często wystarczy po prostu trzymać się kilku podstawowych reguł”.

Stephan Micklitz

Jak ważne jest bezpieczeństwo dla przeciętnego użytkownika?

Pietraszek: Wiele osób uważa je za bardzo ważne, ale podejmowanie niezbędnych środków ochrony może być uciążliwe. To wyjaśnia na przykład, dlaczego tak często to samo hasło jest stosowane na kilku kontach. Jest to najgorszy błąd, jaki można popełnić. Nasza praca polega na wyjaśnianiu użytkownikom, jak minimalnym wysiłkiem mogą ochronić swoje konta. Oferujemy na przykład Sprawdzanie zabezpieczeń, funkcję na koncie Google, która pozwala szybko zweryfikować ustawienia.

Micklitz: Tak naprawdę często wystarczy po prostu trzymać się kilku podstawowych reguł.

A jakie to reguły?

Micklitz: Nie używaj tego samego hasła w różnych usługach, instaluj aktualizacje zabezpieczeń i unikaj podejrzanego oprogramowania. Podaj numer telefonu lub dodatkowy adres e-mail, by można było się z Tobą skontaktować inną drogą. Włącz też blokadę ekranu na telefonie, by utrudnić dostęp nieuprawnionym osobom. To całkiem dobry początek.

Zdjęcia: Conny Mirbach

Innowacje w zakresie cyberbezpieczeństwa

Dowiedz się, w jaki sposób chronimy więcej osób online niż ktokolwiek inny.

Więcej informacji