Terlepas dari kenyataan bahwa teknologi keamanan terus meningkat, phishing (terbuka di tab baru) terus-menerus tetap menjadi ancaman, itulah sebabnya Google telah mengumumkan beberapa cara untuk memerangi phishing di Google I/O 2022 (terbuka di tab baru).
Untuk melindungi penggunanya dari serangan phishing, raksasa pencarian ini meningkatkan perlindungan phishing ke Google Docs (terbuka di tab baru)Lembar (terbuka di tab baru) dan Slide (terbuka di tab baru) sambil terus mendaftarkan pengguna secara otomatis (terbuka di tab baru) dalam Verifikasi 2 Langkah.
Karena bisnis dan pengguna akhir menjadi lebih sadar akan bahaya phishing, autentikasi multi-faktor (MFA (terbuka di tab baru)) telah menjadi fokus khusus bagi penjahat dunia maya. Misalnya, mereka sering mencoba mem-phish kode SMS secara langsung dengan mengikuti “kode sandi satu kali” yang sah dengan pesan palsu yang meminta calon korban untuk “membalas balik dengan kode yang baru saja Anda terima”.
Menurut posting blog baru (terbuka di tab baru) dari Google, penyerang juga memanfaatkan laman phishing dinamis yang lebih canggih untuk melakukan serangan relai saat pengguna mengira mereka masuk ke situs yang sah. Namun, alih-alih menyebarkan halaman phishing statis sederhana (terbuka di tab baru) yang mencuri kredensial pengguna, penyerang menyebarkan layanan web yang masuk ke situs web sebenarnya pada saat yang sama saat pengguna jatuh ke halaman phishing.
Jenis serangan ini sangat sulit untuk dicegah karena tantangan autentikasi diperlihatkan kepada penyerang (seperti prompt untuk kode SMS (terbuka di tab baru)) juga disampaikan kepada korban. Respons korban kemudian diteruskan kembali ke situs web sebenarnya dan penyerang benar-benar menggunakannya untuk menyelesaikan tantangan autentikasi lain yang mungkin muncul.
Otentikasi tahan phishing
Sementara kunci keamanan (terbuka di tab baru) seperti Kunci Keamanan Titan milik Google (terbuka di tab baru) dapat mencegah phishing dengan memverifikasi identitas situs web yang digunakan pengguna untuk masuk, tidak semua orang ingin membawa perangkat fisik tambahan untuk masuk ke semua akun daring mereka.
Inilah sebabnya mengapa Google membangun fungsi yang sama ke dalam smartphone Android (terbuka di tab baru) dan iPhone (terbuka di tab baru). Tidak seperti kunci keamanan FIDO fisik yang perlu dihubungkan melalui USB, raksasa pencarian menggunakan Bluetooth untuk memastikan ponsel cerdas pengguna dekat dengan perangkat yang mereka masuki. Ini juga membantu mencegah serangan “orang di tengah” yang masih dapat bekerja dengan kode SMS atau Google Prompt.
Pada saat yang sama, Google juga telah berupaya membuat Google Prompt tradisionalnya (terbuka di tab baru) menantang lebih tahan phishing dengan meminta pengguna untuk mencocokkan kode PIN dengan apa yang mereka lihat di layar selain mengklik “izinkan” atau “tolak”. Perusahaan bahkan telah mulai bereksperimen dengan tantangan yang lebih rumit untuk situasi berisiko tinggi ketika melihat pengguna masuk dari komputer yang mungkin milik phisher atau meminta pengguna untuk bergabung dengan jaringan Wi-Fi yang sama di ponsel mereka dengan komputer mereka. masuk dari.
Dengan perlindungan phishing baru ini dan pelatihan yang tepat (terbuka di tab baru)baik karyawan maupun konsumen dapat menghindari pencurian kredensial dan akun online mereka.