یک گجت ساده ۲۰ دلاری اجازه نداد هیچیک از ۸۵ هزار کارمند گوگل قربانی حملات فیشینگ شوند
در طی یک سال اخیر، هیچ حمله فیشینگی بر علیه کارمندان گوگل موفقیتآمیز نبوده است. گوگل ۸۵ هزار کارمند دارد و این رکورد برای این شرکت عادی نیست!
یکی از رایجترین حملات بر علیه کاربران اینترنت، حملات فیشینگ (phishing) یا نوع پیشرفته آن spearphishing هستند.
در حملات فیشینگ سعی میشود با یک ایمیل جعلی، وبسایت جعلی، عکس و هر چیزی که کاملا شبیه نسخه اصلی است؛ کاربران را فریب داده و آنها اطلاعات مهمی مانند نام و رمز حساب کاربری، اطلاعات کارت بانکی و هر چیز مهمی را دو دستی به هکرها تقدیم کنند.
در سالهای اخیر، حملات فیشینگ رشد بسیار زیادی داشته و به یکی از تهدیدات بالقوه برای هر کاربر اینترنت و همینطور کارمندان شرکتهای تجاری تبدیل شده است.
برخی گزارشها نشان میدهد حملات Spearphishing یکی از اصلیترین روشهای جاسوسی هکرهای روسی در ماجرای انتخابات سال ۲۰۱۶ ایالات متحده بوده است.
حملات فیشینگ یک مشکل بزرگ برای کسبوکارها هستند. کارمندان شرکتها روزانه دهها و صدها ایمیل دریافت میکنند که ممکن است یکی از آنها جعلی باشد.
شرکتها باید راهکارهایی برای امنسازی کامپیوترها و اطلاعات حساس کاربران پیدا کنند وگرنه هرچقدر کارمندان باهوش، آموزشدیده و ماهر باشند؛ باز هم ایمیلهای جعلی موفقتر ظاهر میشوند.
فناوری اختصاصی گوگل
با دانستن این موضوع، به خبر مربوط به گوگل برگردیم و حالا اهمیت کاری که این شرکت انجام داده است را میتوان فهمید. گوگل تنها شرکت در دنیا است که توانسته مشکل فیشینگ را حل کند.
راز موفقیت گوگل، یک گجت ۲۰ دلاری ساده است. گوگل به همه کارمنداناش یک کلید امنیتی (Security Key) داده و آنها را ملزم به استفاده از آن روی لپتاپها و کامپیوترها کرده است.
۸۵ هزار کارمند گوگل دارای کلیدهای امنیتی هستند. نحوه کار این کلیدها به این شکل است که اجازه دسترسی به حسابهای کاربری کاربران را بدون داشتن آن کلید نمیدهند.
گوگل اوایل سال ۲۰۱۷ شروع به سفارش کلیدهای امنیتی برای کارمنداناش کرد و کمکم تمام آنها به این کلیدها مجهز شدند. حتی اگر یک حمله فیشینگ بر علیه یک کارمند گوگل موفق شده باشد او را گول بزند و اطلاعاتاش را سرقت کند؛ چون به کلید امنیتی سختافزاری دسترسی ندارد؛ هیچ روشی برای ورود به حساب کاربری او نخواهد داشت.
در بسیاری از شرکتها، مکانیزم احرازهویت دو مرحلهای برای امنیت کاربران و مقابله با حملات فیشینگ استفاده میشود ولی گوگل یک گام به جلو حرکت کرده و علاوه بر سیستمهای احرازهویت دو مرحلهای مبتنی بر پیام کوتاه؛ از کارمنداناش خواسته در محل این شرکت از کلیدهای امنیتی هم استفاده کنند.
گوگل به طور اختصاصی یک فناوری کلید امنیتی به نام U2F برای خودش توسعه داده است و در ماه اکتبر سال گذشته، آن را در اختیار افراد مهمی مانند سیاستمداران، روزنامهنگاران، رهبران کسبوکارها و فعلان اقتصادی قرار داد.
گزارشهای منتشر شده از سوی موسسههای امنیتی نشان میدهد مکانیزم احرازهویت دو مرحلهای ۳ درصد احتمال شکست دارد ولی کلیدهای امنیتی U2F تقریبا احتمال شکستی صفر درصد دارند.