Upaya phishing yang berhasil mungkin segera menjadi sesuatu dari masa lalu, kalau upaya oleh Google, Microsoft, dan perusahaan lain terbukti bermanfaat.
Google dan mitranya memimpin langkah menjauh dari kata sandi dan menuju kunci keamanan USB fisik, kata peneliti Google Neal Mueller dan Collin Frierson pada konferensi keamanan BSides SF di sini Senin (16 April). Google sendiri mendistribusikan kunci keamanan USB ke karyawannya sendiri beberapa tahun yang lalu, dengan hasil yang baik.
"Dalam empat tahun semenjak kunci keamanan Google dikerahkan," kata Mueller, "kami tidak berhasil melaksanakan phishing di Google."
Itu tidak berarti bahwa phisher tidak mencoba. Bahkan orang yang sadar keamanan akan jatuh alasannya serangan phishing yang dibentuk dengan baik, dan phisher menciptakan laman phishing yang lebih baik setiap saat. Koresponden Anda baru-baru ini diambil oleh satu orang, dan hanya peranti lunak antivirusnya yang mencegah identitasnya dicuri.
Phishing tidak memerlukan peretasan apa pun, alasannya intinya ini yaitu pekerjaan - "rekayasa sosial", untuk memakai istilah industri. Yang harus Anda lakukan yaitu menipu seseorang biar memperlihatkan username dan passwordnya.
Karena itu bergantung pada sifat manusia, yang sulit diperbaiki, phishing masih menjadi penyebab utama pelanggaran data, pencurian online, dan pengambilalihan akun. Mueller dan Frierson menyampaikan bahwa survei data Gmail mengungkapkan 12 juta orang telah menjadi korban serangan phishing yang sukses dalam satu tahun - jauh lebih dari 788.000 orang yang menjadi korban malware keylogging.
Otentikasi dua faktor (2FA) tidak selalu membantu mengalahkan phishing, terutama kalau faktor kedua yaitu isyarat susukan satu kali yang dikirim melalui pesan teks SMS. Sebelumnya pada hari Senin, Jerrod Chong dari Yubico memperlihatkan serangan phishing yang sangat meyakinkan yang menargetkan Gmail dan meminta korban untuk memasukkan nomor ponselnya untuk keperluan verifikasi - yang akan memungkinkan penyerang untuk mencegat dan menangkap isyarat pas satu kali SMS. .
Baca : Apa Itu Otentikasi Dua Faktor / Dua Faktor Otentikasi (2FA) Dan Bagaimana Cara Mengaktifkannya
Bahkan mengetahui nomor telepon korban tidak diharapkan untuk satu kali istirahat, Mueller dan Frierson menunjukkan. Ketika seorang phisher menipu korban untuk memasukkan kredensial Google-nya ke halaman login Google palsu, penyerang sanggup segera memasukkan kredensial yang dicuri ke halaman login Google yang sebenarnya. Google akan mengirimkan isyarat susukan satu kali ke telepon korban - yang akan dimasukkan korban ke halaman login palsu.
Yubico menciptakan kunci keamanan Yubikey yang terkenal, dan bersama dengan Google memimpin Aliansi FIDO (Fast IDentity Online) untuk menstandardisasi metode otentikasi non-kata sandi. Kunci keamanan USB ibarat Yubikey atau kunci keamanan Google sendiri telah terbukti menjadi pertahanan yang efektif terhadap serangan phishing, dan mereka didukung oleh Facebook, Dropbox, Salesforce dan banyak perusahaan lainnya.
Hanya pengguna yang sah yang akan mempunyai kunci fisik untuk dicolokkan ke port USB atau menyentuh telepon seluler. (Banyak kunci keamanan juga mempunyai fungsi NFC untuk terhubung secara nirkabel dengan perangkat seluler dalam jarak sangat pendek.)
Aliansi FIDO sedang dalam proses menggantikan standar U2F (Universal Two-Factor) yang ada dengan apa yang disebut FIDO 2, kata Chong. Bagian dari FIDO 2 yaitu standar WebAuthn yang akan datang, yang diumumkan awal bulan ini, yang akan memungkinkan pengguna masuk ke situs web tanpa kata sandi. Dengan FIDO 2, Microsoft dan Mozilla bergabung dengan FIDO Alliance.
Hasil final FIDO 2 yaitu menciptakan orang tidak memakai kata sandi sama sekali, kata Chong. Namun ketika kami bertanya bagaimana seorang pengguna mendaftar untuk akun web di daerah pertama tanpa kata sandi, Chong tidak mempunyai balasan yang kuat. Dia hanya sanggup menyampaikan bahwa Aliansi FIDO sedang melihat "pilihan yang berbeda."
Namun, standar FIDO U2F ketika ini memperlihatkan banyak perlindungan, Mueller dan Frierson mengatakan, penerapan Google sendiri terhadap standar memverifikasi pengguna dengan menilik 38 faktor yang berbeda.
Sebagai contoh, sistem operasi yang disukai pengguna, browser pilihan, tingkat enkripsi browser dan lokasi umum sudah diketahui oleh Google. Jika saya biasanya memakai Chrome pada Windows 7 dari New York, tetapi seseorang yang masuk alasannya saya memakai Edge pada Windows 10 dari Kiev, Google akan menolak upaya tersebut sampai orang itu sanggup memasukkan kunci keamanan USB saya.
"Kunci keamanan jauh lebih gampang dipakai daripada kata sandi satu kali," kata Mueller.
0 comments:
Post a Comment