ハッカーがメールアカウントに侵入するのを止める方法(Google Study)
電子メールのハッキングは多作であり、結果は深刻な場合があります。メールアカウント攻撃は、多くの場合、パスワードの盗難、個人情報の盗難、アカウントの盗難、およびクレジットカード詐欺をもたらします。現在、Googleは、ハッカーがGmailアカウントに侵入するために悪用する最も一般的な方法を明らかにする研究を公開しています。技術の巨人は、調査結果が消費者にアカウントを保護する方法について教育するのに役立つことを望んでいます.
Googleによると、ハッカーが使用する最も一般的な方法はフィッシングです。この手法は非常に一般的であり、さまざまな方法で実行できます。最も複雑なフィッシング攻撃は、パーソナライズされ、標的にされます(ソーシャルエンジニアリングを使用).
社会的に設計されたフィッシングは、農民向けの農業に関するニュースレター、投資家向けの暗号通貨に関する記事へのリンク、またはターゲットが持つ特定のキャリアに関する専門的なリソースへのリンクを含む電子メールの形で提供されます.
その他の場合、AmazonまたはeBayでの購入を確認するなりすましのPaypalメールが、サービスの偽のログインページにリンクします。これらの種類のフィッシングメールは、被害者の混乱と懸念(購入を覚えていないため)に頼って、詳細を入力するように仕向けます。悲しいことに、ターゲットが偽のログインページに資格情報を入力するとすぐに、サイバー犯罪者はそのアカウントへのフルアクセスを取得します.
Contents
さまざまな方法
Googleは、ハッカーが電子メールアカウントに侵入するためにあらゆる方法を使用していると説明しています。そのセキュリティブログは「新しい研究:アカウント乗っ取りの根本原因の理解」と呼ばれています。この研究は、将来の攻撃を防ぐのに役立つ有用な情報を共有しています.
ユーザーの15%が、2016年3月から2017年3月の間にソーシャルメディアまたはメールアカウントのハッキングに苦しんだと考えていることが明らかになりました。.
合計で、研究者はキーロギングの788,000人の潜在的な被害者とフィッシングの1240万人の潜在的な被害者を特定しました。 Googleはまた、約33億のアカウントがサードパーティの侵害によって危険にさらされていることを明らかにしました.
結果
カリフォルニア州バークレー大学の研究者と協力して、Googleはさまざまなディープウェブブラックマーケットを分析しました。盗まれた資格情報を検索することで、研究者は多くの重要なことを確認することができました.
研究者は、多くの攻撃は、以前のサイバー攻撃から収集されたパスワードを含む「ヒットアンドミス」タイプの方法の結果であると結論付けました。これは、消費者が複数のアカウントに侵入するという頭痛の種を節約できることを意味するため、重要です。.
多くの場合、ハッカーが1つのアカウントのログイン資格情報を取得すると、それらのログイン資格情報をダークWebで販売します。他のハッカーはこれらの資格情報をまとめて購入し、それを使用して他のWebサイトに侵入しようとします.
消費者がアカウントごとに異なるパスワード、または二要素認証を使用した場合、この手法は機能しません。悲しいことに、多くの場合、人々はFacebook、Twitter、Instagram、Gmail、Slack、Skype、および他のアカウントに同じメールアドレスとパスワードを使用します。つまり、ハッカーが1つのアカウントに違反すると、残りのアカウントは脆弱になります。.
洗練されたテクニック
オンラインでのフィッシングと資格情報の購入は、電子メールアカウントへのエントリを取得するための最も一般的な方法の2つですが、より複雑な方法があります。 1年間の研究の過程で、バークレーの研究者は25,000のハッキングツールを分析しました。研究者たちは、ユーザーに関するデータを収集するキーロガーとトロイの木馬を使用した攻撃ベクトルがより一般的になっていることを発見しました.
調査結果によると、人々のIPアドレスを確認するソフトウェアは、多くの場合、フィッシング技術を介して配信されます。次に、二次攻撃では、ハッカーはキーロギングマルウェア、またはさらに悪いことに、コマンドアンドコントロール(CnC)サーバーと通信するトロイの木馬を配信します。.
これらのタイプのトロイの木馬は、サイバー犯罪者が人々のマシンに簡単にアクセスできるようにし、システム全体を検索したり、マイクやウェブカメラをオンにしたりすることさえ可能にします。被害者のマシンにこの種のマルウェアがあると、資格情報が入力され、パスワードまたはクレジットカードの詳細が吸い上げられるのは時間の問題です.
シンプルなソリューションが大きく前進
消費者が最初にやらなければならないことは、すべてのアカウントに一意のパスワードを使用することです。一意のパスワードは、複数のアカウントへのアクセスに使用できる盗まれた資格情報を販売するダークWebベンダーの可能性を阻止します。安全なパスワードは長くて難しい必要があります(ペットの名前ではありません!)。この種の安全なパスワードは、実際には覚えるのが困難です。このため、パスワードを保持する小さな黒い本(紛失する可能性があるため安全ではありません)を用意するか、パスワードマネージャーを使用する必要があります。.
KeePassのようなパスワードマネージャーを使用すると、すべてのアカウントの強力なパスワードのデータベース全体にアクセスするために、1つの難しいパスワードを覚えておくことができます。これにより、プレッシャーがなくなり、非常に強力で一意のパスワードを使用できます.
アンチウイルス保護
マルウェアとトロイの木馬に関する限り、優れたウイルス対策とファイアウォールは大いに役立ちます。さらに、無料のウイルス対策プログラムやマルウェア対策プログラムが市場にたくさんあります。そのため、これらを持たない理由はありません。はい、ウイルス対策に年間100ドルまで支払うことができます。ただし、実際には、より多くの費用を払ってマルウェア対策を強化することは実際にはありません。必要なツールが増えるだけです。.
ファイアウォールに関しては、Windows XPに戻って以来、Windowsには優れたものが組み込まれています。 Windowsファイアウォールは優れており、Malwarebytesなどの最新のウイルス対策と組み合わせて使用することがセキュリティに不可欠です。.
さらに、ソフトウェアの更新プログラムが利用可能になったら、常にそれを取得することが重要です。フラッシュアップデート、Webブラウザアップデート、およびオペレーティングシステムセキュリティパッチなどの他のソフトウェアアップデートはすべて、システムが最新の脅威から保護されるようにします。ゼロデイ脆弱性は常に発見されており、非常に深刻な脅威につながる可能性があります.
二要素認証
最近の調査によると、ほとんどのアメリカ人は二要素認証を使用していません。アカウントを保護する最も簡単な方法であるため、これは非常に残念です。まだお持ちでない場合は、メールアカウント(および他のアカウント)で2要素認証を設定してください.
仮想プライベートネットワーク
また、仮想プライベートネットワーク(VPN)の使用を強く検討する必要があります。 VPNは、インターネット保護の最も高度な形式の1つです。接続されたデバイスとの間で送受信されるすべてのデータを安全に暗号化することで機能します。これにより、誰かがトラフィックを「盗聴」したとしても(たとえば、新たに発見されたKRACK脆弱性を使用して)、実際に資格情報を盗むことはできません。.
さらに、VPNに接続すると、実際のIPアドレスが隠され、VPNサーバーのIPアドレスに置き換えられます。真のIPアドレスを隠すことにより、VPNは、ハッカーがトロイの木馬やその他のマルウェアをデバイスに配信することを困難にします.
最後に、インターネットユーザーは、メールで公式に見えるリンクを開くときは常に注意する必要があります。フィッシングメールは非常に説得力がありますが、実際のアドレスブラウザを見ると、通常、実際のサイトにいるかどうかを知ることができます。.
最善の方法は、メール内のリンクをクリックしないことです。代わりに、ブラウザにアドレスを入力して、問題のWebサイトに手動で移動します。実際のサイトにいる場合、アドレスはHTTPSで始まり、左側に接続が安全であることを示す小さな緑色のロックがあります。疑わしい場合は、ブラウザのWebアドレスバーを確認してください.
Google Tightening Security
良いニュースは、Googleがその情報を使用してサービスにセキュリティを追加したことです.
先月、同社は、人々が自分のアカウントを保護するのを支援するために設計されたいくつかのツールを立ち上げました。これらには、個人アカウントのセキュリティ検査、新しいフィッシング警告、リスクのあるユーザー向けの高度な保護プログラムが含まれます.
さらに、Googleはアカウントのロケーション半径を厳しくしました。これは、通常とは異なるログインが本当に頻繁に行われるかどうかを尋ねられることを意味します。 Googleは、ハッカーが膨大な数の6,700万のGoogleアカウントに侵入するのを防ぐために、その調査結果を既に使用していると考えています.
