Google Taps Smartphone Bluetooth pour déjouer les tentatives de phishing sur les connexions de l'utilisateur

Pour empêcher les pirates de pénétrer dans des comptes en ligne, Google va commencer à utiliser la fonctionnalité Bluetooth sur les smartphones des utilisateurs pour vérifier qu'une connexion est légitime.

La société a annoncé mercredi l'effort de Google E / S, citant la menace d'attaques de phishing plus avancées de pirates.

Pour arrêter de telles tentatives, vous pouvez configurer l'authentification à deux facteurs pour les comptes en ligne.Cela nécessite que quiconque se connecte pour fournir à la fois le mot de passe correct et un code d'accès unique, qui est généralement généré sur le smartphone de l'utilisateur.

Cependant, Google dit que plus de pirates proposent des moyens de battre ces systèmes d'authentification à deux facteurs.Dans certains cas, les coupables tenteront de inciter les utilisateurs à remettre le code d'accès unique en envoyant un faux SMS du fournisseur de compte, comme Google.

(Image: Google)

Dans d'autres cas, l'attaquant enverra à l'utilisateur un faux site Web capable de voler, puis de réutiliser les informations d'identification de connexion, y compris le code à deux facteurs - d'une victime en temps réel.

"Dans ces attaques, un utilisateur pense qu'ils se connectent au site prévu, tout comme dans une attaque de phishing standard", explique Google (s'ouvre dans une nouvelle fenêtre). “But instead of deploying a simple static phishing page that saves the victim's email and password when the victim tries to login, the phisher has deployed a web service that logs into the actual website at the same time the user is falling for the phishing page."

(Image: Google)

Ces tentatives de phishing soulignent une vulnérabilité avec les systèmes d'authentification traditionnels à deux facteurs: un pirate avisé peut encore inciter la victime à résoudre tout défi d'authentification pendant le processus de connexion.

Google Taps Smartphone's Bluetooth to Foil Phishing Attempts on User Logins

En réponse, Google dit qu'il a trouvé une solution prometteuse, qui oblige quiconque à se connecter à votre compte en ligne pour être physiquement proche de l'ordinateur.Pour le retirer, l'entreprise appuyera sur la fonctionnalité Bluetooth sur le smartphone de l'utilisateur pour authentifier la demande de connexion.

(Image: Google)

Pour être clair, cette méthode de connexion est différente de la simple génération d'une invite sur votre smartphone pour vérifier la connexion. “We use Bluetooth to ensure your phone is close to the device you're logging into," Google says. “Like physical security keys, this helps prevent a distant attacker from tricking you into approving a sign-in on their browser, giving us an added layer of security against the kind of ‘person in the middle’ attacks that can still work against SMS or Google Prompt."

La société a en fait débuté la technologie en 2019 comme un moyen plus sécurisé de se connecter à votre compte Google.Le système utilise la norme FIDO 2 et stocke une clé cryptographique sur votre téléphone, qui peut être utilisé pour signer des demandes d'authentification sur Bluetooth pour déverrouiller le compte en ligne désigné.Aucune donnée cryptographique n'est jamais transmise de votre téléphone à l'ordinateur, ce qui la rend résistante aux attaques de phishing.

Google a précédemment fait passer le système.Mais maintenant, l'entreprise prévoit d'utiliser la méthode d'authentification Bluetooth plus largement pour déjouer les tentatives de phishing suspectées.

Recommandé par nos éditeurs

The Best Authenticator Apps for 2022Don’t Get Caught! How to Spot Email and SMS Phishing AttemptsScammers Are Using Fake SMS Bank Fraud Alerts to Phish Victims, FBI Says

“Over the next couple of months we’ll be rolling out this technology in more places, which you might notice as a request for you to enable Bluetooth while logging in, so we can perform this additional security check," the company wrote.

Du côté de la baisse, le système d'authentification ne fonctionne que sur des ordinateurs qui prennent en charge Bluetooth et les navigateurs qui prennent en charge la norme FIDO 2.Comme alternative, Google a commencé à expérimenter avec les utilisateurs de rejoindre leur téléphone au même réseau Wi-Fi que l'ordinateur dans lequel ils se connectent pour vérifier qu'une connexion est légitime.

“Of course, while all of these options dramatically increase account security, we also know that they can be a challenge for some of our users, which is why we're rolling them out gradually, as part of a risk-based approach that also focuses on usability," the company adds.«Si nous pensons qu'un compte est plus à risque, ou si nous voyons un comportement anormal, nous sommes plus susceptibles d'utiliser ces mesures de sécurité supplémentaires."

Pourtant, au fil du temps, Google prévoit de supprimer les méthodes de connexion traditionnelles.Au lieu de cela, la société rejoint Apple et Microsoft pour adopter un nouveau système de connexion qui s'appuie sur les smartphones utilisateur ou les ordinateurs portables pour authentifier les signes via Bluetooth.

“Phishing attacks have long been seen as a persistent threat, but these recent developments give us the ability to really move the needle and help more of our users stay safer online," Google says.

Like What You're Reading?

Sign up for SecurityWatch newsletter for our top privacy and security stories delivered right to your inbox.

Cette newsletter peut contenir des liens publicitaires, offres ou affiliés.L'abonnement à une newsletter indique votre consentement à nos conditions d'utilisation et à nos politiques de confidentialité.Vous pouvez vous désabonner des newsletters à tout moment.


Thanks for signing up!

Votre abonnement a été confirmé.Gardez un œil sur votre boîte de réception!

Sign up for other newsletters
Articles populaires