Tutkimus paljasti: Jo tämä pieni lisäys suojaa Google-tilisi lähes täysin kaappauksilta

Google on kertonut tutkimuksestaan, jossa se kartoitti yhdessä New Yorkin ja Kalifornian San Diegon yliopistojen kanssa tarjoamiensa Google-tilien suojauskeinojen tepsivyyttä.

Googlen mukaan se suojaa käyttäjiä päivittäin sadoilta tuhansilta tilien kaappausyrityksiltä. Suurin osa näistä hyökkäyksistä on automatisoitujen bottien yrityksiä hyödyntäen esimerkiksi muista palveluista vuotaneita salasanoja mutta joukossa on myös tietojenkalastelua hyödyntäviä sekä kohdistettuja hyökkäyksiä.

Vuoden mittaisessa tutkimuksessaan Google havaitsi, että ainoastaan lisäämällä tilin palauttamiseen käytetyn puhelinnumeron Google-tilille esti se jopa 100 prosenttia automatisoitujen bottien yrityksistä murtautua tilille, 99 prosenttia kalasteluhyökkäyksistä sekä 66 prosenttia kohdistetuista hyökkäyksistä tutkimusjakson aikana.

Palautuspuhelinnumeron lisäämisessä ei ole kyse edes varsinaisesta kaksivaiheisesta tunnistautumisesta, jonka käyttöönotto toki on myös suositeltavaa.

Havaitessaan epäilyttävän kirjautumisyrityksen kysyy Google lisätietoja varmistaakseen kirjautumisen aitouden. Googlen mukaan palautuspuhelinnumeroon lähetetty SMS-tekstiviesti esti 100 prosenttia automatisoiduista bottihyökkäyksistä, 96 prosenttia hyökkäyksistä tietojenkalastelulla sekä 76 prosenttia kohdistetuista hyökkäyksistä. Turvallisempi Google-kehote, eli kehotus vahvistaa kirjautuminen puhelimeen asennetun Google-sovelluksen kautta, esti samoin 100 prosenttia bottihyökkäyksistä mutta vielä korkeammat 99 prosenttia hyökkäyksistä tietojenkalastelulla sekä 90 prosenttia myös kohdistetuista hyökkäyksistä.

Jos puhelinnumeroa ei ole liitetty Google-tiliin, Google pyrkii käyttämään kirjautumisen vahvistamiseen muita tietoja, kuten kysymystä viimeisimmästä sisäänkirjautumisen sijainnista.

Vaikka Google kertoo sen tilin suojaamiseksi kirjautumisen yhteydessä kysyttävien tietojen edellä mainitulla tavalla estävän tehokkaasti murtautumisyrityksiä käyttäjätileille, ei Google kuitenkaan esitä kysymyksiä kaikkien kirjautumisten yhteydessä – vaan ainoastaan silloin, kun kirjautumisessa on epäilyttäviä piirteitä. Syynä tähän on, että yllättävän monet käyttäjät eivät osaa vastata kysymyksiin oikein edes omalta kohdaltaan. Googlen kokeilussa 38 prosentilla käyttäjistä ei ollut pääsyä puhelimeensa ja 34 prosenttia ei muistanut tilille liittämäänsä palautussähköpostiosoitetta.

Erityisen tärkeää käyttäjätilien suojaaminen on henkilöillä, jotka asemansa puolesta ovat johtavassa asemassa esimerkiksi yrityksissä ja tai julkisella puolella, ja ovat tämän ansiosta mielenkiintoisia hyökkäyksen kohteita. Googlen mukaan vain yksi käyttäjä miljoonasta kohtaa tämän tason riskin kohdistetusta hyökkäyksestä. Näille käyttäjille Google suosittelee kehittyneen suojauksen ohjelmaansa, ja muistuttaa että ainoastaan kirjautumisen vahvistamista laiteavaimella käyttävistä käyttäjistä yhdenkään tilille ei oonnistuttu kirjautumaan edes kohdistetuilla tietojenkalasteluyrityksillä tutkimuksen aikana.

Jos oman Google-tilin turvallisuus kiinnostaa, kannattaa tilille ehdottomasti lisätä palautuspuhelinnumero tilin turvallisuusasetuksissa tai mikä vielä varmempaa, ottaa käyttöön kaksivaiheinen vahvistus, jolloin kirjautuminen vahvistetaan salasanan lisäksi esimerkiksi tekstiviestikoodilla tai kehotteella kirjauduttaessa sisään uusilla laitteilla.