Google Berbagi Rencana Untuk Menghentikan Serangan Phishing

Upaya phishing yang berhasil mungkin segera menjadi sesuatu dari masa lalu, jika upaya oleh Google, Microsoft, dan perusahaan lain terbukti bermanfaat.

Google dan mitranya memimpin langkah menjauh dari kata sandi dan menuju kunci keamanan USB fisik, kata peneliti Google Neal Mueller dan Collin Frierson pada konferensi keamanan BSides SF di sini Senin (16 April). Google sendiri mendistribusikan kunci keamanan USB ke karyawannya sendiri beberapa tahun yang lalu, dengan hasil yang baik.

"Dalam empat tahun sejak kunci keamanan Google dikerahkan," kata Mueller, "kami tidak berhasil melakukan phishing di Google."

Itu tidak berarti bahwa phisher tidak mencoba. Bahkan orang yang sadar keamanan akan jatuh karena serangan phishing yang dibuat dengan baik, dan phisher membuat laman phishing yang lebih baik setiap saat. Koresponden Anda baru-baru ini diambil oleh satu orang, dan hanya peranti lunak antivirusnya yang mencegah identitasnya dicuri.

Phishing tidak memerlukan peretasan apa pun, karena pada dasarnya ini adalah pekerjaan - "rekayasa sosial", untuk menggunakan istilah industri. Yang harus Anda lakukan adalah menipu seseorang agar memberikan username dan passwordnya.

Karena itu bergantung pada sifat manusia, yang sulit diperbaiki, phishing masih menjadi penyebab utama pelanggaran data, pencurian online, dan pengambilalihan akun. Mueller dan Frierson mengatakan bahwa survei data Gmail mengungkapkan 12 juta orang telah menjadi korban serangan phishing yang sukses dalam satu tahun - jauh lebih dari 788.000 orang yang menjadi korban malware keylogging.

Otentikasi dua faktor (2FA) tidak selalu membantu mengalahkan phishing, terutama jika faktor kedua adalah kode akses satu kali yang dikirim melalui pesan teks SMS. Sebelumnya pada hari Senin, Jerrod Chong dari Yubico menunjukkan serangan phishing yang sangat meyakinkan yang menargetkan Gmail dan meminta korban untuk memasukkan nomor ponselnya untuk keperluan verifikasi - yang akan memungkinkan penyerang untuk mencegat dan menangkap kode pas satu kali SMS. .

Baca : Apa Itu Otentikasi Dua Faktor / Dua Faktor Otentikasi (2FA) Dan Bagaimana Cara Mengaktifkannya

Bahkan mengetahui nomor telepon korban tidak diperlukan untuk satu kali istirahat, Mueller dan Frierson menunjukkan. Ketika seorang phisher menipu korban untuk memasukkan kredensial Google-nya ke halaman login Google palsu, penyerang dapat segera memasukkan kredensial yang dicuri ke halaman login Google yang sebenarnya. Google akan mengirimkan kode akses satu kali ke telepon korban - yang akan dimasukkan korban ke halaman login palsu.

Yubico membuat kunci keamanan Yubikey yang terkenal, dan bersama dengan Google memimpin Aliansi FIDO (Fast IDentity Online) untuk menstandardisasi metode otentikasi non-kata sandi. Kunci keamanan USB seperti Yubikey atau kunci keamanan Google sendiri telah terbukti menjadi pertahanan yang efektif terhadap serangan phishing, dan mereka didukung oleh Facebook, Dropbox, Salesforce dan banyak perusahaan lainnya.

Hanya pengguna yang sah yang akan memiliki kunci fisik untuk dicolokkan ke port USB atau menyentuh telepon seluler. (Banyak kunci keamanan juga memiliki fungsi NFC untuk terhubung secara nirkabel dengan perangkat seluler dalam jarak sangat pendek.)

Aliansi FIDO sedang dalam proses menggantikan standar U2F (Universal Two-Factor) yang ada dengan apa yang disebut FIDO 2, kata Chong. Bagian dari FIDO 2 adalah standar WebAuthn yang akan datang, yang diumumkan awal bulan ini, yang akan memungkinkan pengguna masuk ke situs web tanpa kata sandi. Dengan FIDO 2, Microsoft dan Mozilla bergabung dengan FIDO Alliance.

Hasil akhir FIDO 2 adalah membuat orang tidak menggunakan kata sandi sama sekali, kata Chong. Namun ketika kami bertanya bagaimana seorang pengguna mendaftar untuk akun web di tempat pertama tanpa kata sandi, Chong tidak memiliki jawaban yang kuat. Dia hanya bisa mengatakan bahwa Aliansi FIDO sedang melihat "pilihan yang berbeda."

Namun, standar FIDO U2F saat ini memberikan banyak perlindungan, Mueller dan Frierson mengatakan, penerapan Google sendiri terhadap standar memverifikasi pengguna dengan memeriksa 38 faktor yang berbeda.

Sebagai contoh, sistem operasi yang disukai pengguna, browser pilihan, tingkat enkripsi browser dan lokasi umum sudah diketahui oleh Google. Jika saya biasanya menggunakan Chrome pada Windows 7 dari New York, tetapi seseorang yang masuk karena saya menggunakan Edge pada Windows 10 dari Kiev, Google akan menolak upaya tersebut hingga orang itu dapat memasukkan kunci keamanan USB saya.

"Kunci keamanan jauh lebih mudah digunakan daripada kata sandi satu kali," kata Mueller.

Share this post