Digitalmania – Maraknya kasus pembajakan ponsel seperti yang terjadi belum lama ini pada aplikasi berkirim pesan populer WhatsApp. Mengantisipasi situasi semacam ini, Google mengambil langkah pencegahan.

Google menyoroti pentingnya menautkan ponsel ke akun dalam hal melawan upaya pembajakan dari upaya otomatisasi dari bot, phishing, dan serangan yang ditargetkan. Alamat email adalah pusat kehidupan online, penting untuk membuat akun ke layanan web dan untuk menerima komunikasi yang sensitif.

Selain itu, penyedia sejumlah besar layanan, seperti Google dan Microsoft, telah pindah ke sistem masuk tunggal di mana nama pengguna dan kata sandi yang sama untuk mengakses semua layanan dari penyedia yang sama. Selain itu, akun ini dapat digunakan untuk mendaftar atau masuk ke layanan pihak ketiga.

Sehinga tidak heran akun email didambakan oleh peretas mana pun. Upaya pembajakan akun terjadi setiap hari, jumlah upaya pembajakan juga tidak main-main, mencapai ratusan ribu. Dan perusahaan seperti Google telah mengembangkan pertahanan terhadap ancaman ini.

Anti Pembajakan

Menambahkan nomor telepon pemulihan ke akun Google tampaknya menjadi cara yang efektif untuk menang melawan serangan pengambilalihan, terutama jika mereka tidak ditargetkan.

Sebuah studi dari para peneliti akademis menunjukkan bahwa di mana akun Google ditautkan ke telepon, tingkat pencegahan pengambilalihan naik sebanyak 100% dalam hal bot otomatis, setinggi 99% dengan phishing run-of-the-mill, dan hingga 90% dengan serangan yang ditargetkan. Penelitian ini memperhitungkan lebih dari 350.000 upaya pembajakan di dunia nyata pada sampel 1,2 juta pengguna.

Google proaktif dalam mengamankan akun pengguna dan mengandalkan rutinitas pengguna untuk menentukan keabsahan upaya login secara pasif. Di antara sinyal yang digunakan adalah asal dari permintaan login, yang mencakup perangkat dan lokasi.

Secara sederhana, ketika pengguna masuk ke akun mereka dari perangkat atau lokasi yang berbeda, mereka diminta untuk membuktikan bahwa mereka adalah pemilik yang sah dengan menyelesaikan tantangan otentikasi kedua.

Ketika login yang mencurigakan terdeteksi, pengguna melalui langkah verifikasi tambahan, yang dapat berbasis pengetahuan (menjawab pertanyaan keamanan, memberikan nomor telepon atau alamat email pemulihan) atau berbasis perangkat (membuktikan akses ke perangkat terdaftar).

Tantangan Berbasis Perangkat

Menurut sebuah penelitian dari para peneliti dari New York University dan upaya nyata Google untuk membajak akun Google sebagian besar tidak efektif terhadap tantangan berbasis perangkat.

On-device prompt, tindakan perlindungan yang mengotorisasi login dengan mengkonfirmasikannya di telepon, memiliki tingkat keberhasilan 100% terhadap bot otomatis, 99% terhadap serangan phishing massal, dan 90% terhadap serangan pengambilalihan akun yang ditargetkan (ATA).

Yang lebih sukses adalah mengotorisasi login dengan kunci keamanan. Jika perlindungan ini diaktifkan, semua upaya ATA gagal karena perangkat fisik diperlukan agar proses login berlanjut.

Tapi kunci keamanan menambah friksi pada penggunaan otentikasi yang masih belum bisa diterima oleh sebagian besar pengguna. Inilah sebabnya mengapa mereka biasanya digunakan oleh kategori pengguna yang lebih cenderung menjadi korban serangan yang ditargetkan.

Bentuk terlemah dari perlindungan yang dihasilkan dari penelitian ini adalah otentikasi berbasis SMS yang umum, yang dapat dikalahkan jika peretas dalam posisi man-in-the-middle menyebarkan serangan phishing langsung dan memotong permintaan dan menjalankan pemeriksaan validitas secara real-time.

Menurut peneliti Google Jika Anda masuk ke ponsel Anda atau mengatur nomor telepon pemulihan, Google dapat memberikan tingkat perlindungan yang serupa dengan Verifikasi 2 Langkah melalui tantangan berbasis perangkat.

Alternatif tidak memiliki telepon yang terhubung ke akun Google adalah bahwa pemulihan perlu bergantung pada tantangan berbasis pengetahuan yang lebih lemah yang mungkin diketahui oleh peretas, atau sangat mudah ditemukan. Meskipun ini berfungsi melawan bot otomatis, phishing dapat berhasil dalam sebanyak 90% kasus. Digitalmania. (AN)