ZAŠTITE SVE SVOJE RAČUNE UZ POMOĆ DVOFAKTORSKE AUTENTIFIKACIJE (2FA Two-Factor Authentication)
U praksi se često susrećemo s krađom identiteta, najčešće na društvenim mrežama kao što su Facebook, Instagram, pa onda i kod Googla, tj. g-maila.
To se lako rješava uvođenjem dvostruke autentifikacije na svim računima. Dvostruku autentifikaciju nije lako prevariti.
2FA (Two-Factor Authentication), je dodatna provjera identiteta, odnosno kada upištete zaporku, program traži još jednu provjeru. Dvofaktorska autentifikacija, sigurnosna je metoda koja zahtijeva dva različita načina verifikacije identiteta prilikom prijave na račun ili sustav. Cilj je povećati sigurnost korisničkog računa dodavanjem dodatnog sloja zaštite uz standardnu lozinku.
Kako funkcionira 2FA?
Za autentifikaciju su potrebna dva od tri moguća faktora identifikacije:
1. Nešto što znate
• Lošinka, PIN ili odgovor na sigurnosno pitanje.
2. Nešto što imate
• Fizički uređaj poput mobilnog telefona, pametnog ključa (USB tokena), kartice ili aplikacije za generiranje kodova (npr. Google Authenticator).
3. Nešto što jeste
• Biometrijske informacije poput otiska prsta, prepoznavanja lica ili skeniranja šarenice oka.
Primjeri 2FA u praksi:
1. SMS kodovi:
Nakon unosa lozinke, na vaš broj mobitela stiže jednokratni kod koji unosite za pristup.
2. Autentifikacijske aplikacije:
Aplikacije poput Google Authenticator, Microsoft Authenticator ili Authy generiraju jednokratne kodove koji se mijenjaju svakih 30 sekundi.
3. Push obavijesti:
Nakon prijave, na vaš telefon stiže obavijest koju morate potvrditi.
4. Biometrijska autentifikacija:
Nakon unosa lozinke, potrebno je skenirati otisak prsta ili lice.
5. Fizički sigurnosni ključevi:
USB ili NFC uređaji, poput YubiKey-a, koji se povezuju s računalom ili mobitelom za potvrdu.
Prednosti 2FA:
• Veća sigurnost: Sprječava neovlašten pristup čak i ako je lozinka kompromitirana.
• Jednostavno za korištenje: Dodavanje aplikacije ili uređaja za autentifikaciju je obično brzo i jednostavno.
• Zaštita od krađe identiteta: Čak i ako napadač zna vašu lozinku, neće moći pristupiti bez drugog faktora.
Nedostaci 2FA:
• Ovisnost o uređaju: Ako izgubite telefon ili fizički ključ, može doći do problema s pristupom.
• Manja praktičnost: Dodavanje dodatnog koraka u procesu prijave može biti nezgodno za neke korisnike.
• Ranjivost na napade: Ako se koristi SMS, moguće je da hakeri presretnu poruke putem SIM swap napada.
Preporuke:
• Koristite aplikacije za autentifikaciju umjesto SMS kodova jer su sigurnije.
• Postavite rezervne metode za slučaj gubitka uređaja (npr. backup kodovi).
• Uključite 2FA na svim važnim računima (e-mail, društvene mreže, banke).
2FA je danas jedan od najučinkovitijih načina zaštite digitalnih računa i preporučuje se svima.
Google:
Sigurnosna provjera
Google svim svojim korisnicima pruža mogućnost sigurnosne provjere koja provjerava postavke računa i traži eventualne ranjivosti. Dovoljno je ući u vlastiti račun i u postavkama pokrenuti sigurnosnu provjeru te slijediti upute na ekranu. Google će na kraju upozoriti na sve potencijalne probleme i savjetovati korisnika kako ih riješiti.
Upozorenja na sumnjivu aktivnost
Korisnici bi trebali aktivirati upozorenja o sumnjivoj aktivnosti na svojim računima. Na taj način Google će upozoriti korisnika ako se na njegov Google ili Gmail račun netko pokuša prijaviti s novog uređaja (drugačijeg od onog s kojeg se do sad prijavljivao) ili s nepoznate lokacije (primjerice iz Pakistana ili Nigerije).
Pristup trećim stranama
Tijekom surfanja internetom, korisnicima se često nudi mogućnost prijave na neku stranicu ili servis, pomoću njihovog Google računa. Zbog jednostavnosti prijave, korisnici to često koriste. Ali bi zbog vlastite sigurnost, s vremena na vrijeme, trebali revidirati tko sve ima pristup njihovom računu i obrisati one koji ga više ne bi smjeli imati.
Zaštita od phishinga
Gmail u sebi ima ugrađene brojne sigurnosne mogućnosti. Neke od njih Google automatski aktivira, dok je druge potrebno aktivirati. Zaštita od phishinga nešto je što Gmail automatski aktivira, a kad je neka poruka sumnjiva to će posebno naznačiti i upozoriti korisnika. Stoga, treba obratiti pozornost na takva upozorenja i reagirati na vrijeme.
Primjer prevare:
Zahvaljujući umjetnoj inteligenciji prevare su danas sve sofisticiranije i sve ih je teže prepoznati.
Sve je počelo nakon što je korisnik dobio obavijest u kojoj se od njega traži odobrenje za oporavak računa na Gmailu, što je uobičajena taktika kojom se služe napadači jer se korisnike šalje na lažni portal za prijavu u kojem moraju upisati svoje prave podatke, čime ih u biti predaju hakerima.
Slično je i kada dobijete obavjest da ste dobili neku pošiljku pa trebate platiti carinu, i slično…
Korisnik nije nasjeo na taj pokušaj prevare, a 40-ak minuta poslije uslijedio je telefonski poziv na koji nije odgovorio. Naknadno je dobio obavijest da ima propušten poziv iz Googleova regionalnog odjela.
Tjedan dana poslije ponovno je dobio obavijest o zahtjevu za oporavkom računa te, nakon što ga je odbio, nakon 40 minuta uslijedio je telefonski poziv na koji se ovog puta javio. S druge strane linije nalazila se osoba s američkim naglaskom koja je tvrdila da radi za Googleovu korisničku podršku te je upozorio Korisnika na sumnjivu aktivnost na njegovom računu i da netko već tjedan dana ima pristup tom računu s kojeg je preuzeo podatke.
Dok je razgovarao s tom osobom, korisnik je provjerio broj s kojeg ga je osoba nazvala i on je zaista bio povezan s Googleovom poslovnom stranicom. No kako je znao da hakeri mogu koristiti taktiku lažnog prikaza broja i dalje je ostao skeptičan te je zatražio da mu se pošalje mail kako bi bio siguran da je osoba s kojom priča zaista iz Googlea. Ta je poruka stigla u inbox i izgledala je zaista stvarno, no tek kada je malo bolje pogledao primijetio je da je riječ o dobro maskiranoj domeni koja ipak nije povezana s Googleom, iako se tako čini na prvi pogled. Nakon što je pozivatelj rekao “halo”, a on nije odgovorio, nakon desetak sekundi ponovno je rekao “halo”. U tom je trenutku shvatio da je riječ o AI glasu jer su izgovor i razmaci bili savršeni. Nakon toga je poklopio slušalicu. Iznenadio se koliko su prevaranti otišli daleko u ovom pokušaju prevare te koliko su sve detaljno i uvjerljivo razradili. Prevara je izgledala i zvučala totalno legitimno.
VELIKI OPREZ:
Prevare su sve sofisticiranije, pogotovo s korištenjem AI-a, potrebno je biti itekako oprezan jer samo jedan krivi klik može dovesti do velikih problema i gubitka pristupa Gmailu i Googleovim podacima, te svojim profilima na društvenim mrežama, ili pak pristupu novčanim računima ili karticama.
