זיהוי ואבטחה של חשבונות שנפרצו

שלב 1. השעיה זמנית של חשבון משתמש שנחשד שנפרץ

1. משעים את המשתמש כדי למנוע גישה לא מורשית.

   הערה: השעיה של משתמש גורמת לאיפוס של קובצי Cookie של פרטי הכניסה לחשבון ואסימוני OAuth.

2. כדאי לבדוק את הפעילות שבוצעה ללא הרשאה ולשחזר את החשבון. אפשר גם לרשום את הדומיין לאימות דו-שלבי (2SV).
3. מבקשים מהמשתמש שהושפע לבדוק את כתובת האימייל לשחזור החשבון ולהשלים את רשימת המשימות לאבטחת Gmail.

שלב 2. בדיקת החשבון לאיתור פעילות לא מורשית

1. אם המשתמש שהחשבון שלו נפרץ הוא אדמין, כדאי לעיין ביומני הביקורת של האדמין כדי לראות אם המשתמש ביצע לאחרונה שינויים בהגדרות. אם זה לא רלוונטי, אפשר לדלג על השלב הזה.
2. בודקים את המכשירים הניידים שמשויכים לחשבון שנפגע ומאפסים את כל המכשירים החשודים.
3. בודקים את הפעילות שעשויה להיות לא מורשית:
   1. אפשר להשתמש באירועים ביומן המשתמשים במסוף Admin כדי לראות רשימה מלאה של כניסות מוצלחות ולא מוצלחות מבוססות-אינטרנט בדומיין שלכם, עד 6 חודשים אחורה. כניסות חשודות לחשבון מסומנות בסמל אזהרה. אפשר גם לאחזר את הכניסות לחשבונות בדומיין באמצעות Reports API.
   2. כדי לבדוק את יומני המסירה של הדומיינים שלכם ולהעריך את מעבר ההודעות אל החשבונות שנפרצו ואת ההודעות שיוצאות מהם, אפשר להשתמש בחיפוש ביומן האימייל. אם החשבון מנוהל על ידי Vault, אפשר להשתמש בחיפוש ביומן האימייל כדי לבדוק את פעילות האימייל.
      הערה: אם המשתמשים שלכם ישדרגו למהדורה שכוללת את Vault, הם יוכלו לשחזר אימיילים או מסמכים שנמחקו לצמיתות.
   3. להשתמש בדוח האבטחה כדי להעריך את החשיפה של הדומיין לסיכוני אבטחת מידע. מומלץ לעיין בדוחות הבאים:
      • אירועים ביומן של OAuth
      • אירועים ביומן של קבוצות Google
      • אירועים ביומן של Drive

        התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus,‏ Business Starter,‏ Business Standard ו-Business Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Fundamentals,‏ Education Standard ו-Education Plus,‏ Essentials Starter,‏ Essentials,‏ Enterprise Essentials ו-Enterprise Essentials Plus,‏ G Suite Business. השוואה בין המהדורות

      • אירועים ביומן של יומן Google
   4. לבדוק אם נוצרו הגדרות זדוניות. אפשר לאחזר הגדרות של חשבונות משתמשים (כמו הגדרות העברה) באמצעות Gmail API. אם יש לך חשד שנעשה שימוש בחשבון פרטי עם כתובת ‎@gmail.com כחלק מהפריצה הזו, אפשר לדווח על כך.

שלב 3. ביטול הגישה לחשבון שהושפע מהחשיפה

1. פועלים לפי השלבים במאמר בנושא איפוס סיסמה של משתמש.
2. ביטול טוקנים מסוג OAuth 2.0 עבור המשתמש.
3. חלק מהאפליקציות שמשתמשות בשיטת האימות OAuth 2.0 יפסיקו לגשת לנתונים אחרי איפוס הסיסמה של משתמש. המשתמש צריך להיכנס באמצעות שם החשבון והסיסמה החדשה כדי לקבל טוקן חדש של OAuth 2.0.
4. מסירים סיסמאות לאפליקציות שהמשתמש יצר.

שלב 4. החזרת הגישה למשתמש

1. ביטול ההשעיה של החשבון.
2. מודיעים למשתמשים מה הסיסמאות הזמניות החדשות שלהם ומבקשים מהם להגדיר סיסמאות חדשות וייחודיות (סיסמאות שלא נמצאות בשימוש באתרים או באפליקציות אחרים).
3. מומלץ להפעיל אימות דו-שלבי בדומיין ולרשום משתמשים עם מפתחות אבטחה (מומלץ יותר מקודי אימות דו-שלבי).
4. עובדים עם המשתמשים כדי להשלים את רשימת המשימות לאבטחת Gmail למשתמשי קצה. לדוגמה, מוודאים שכל המסננים ואפשרויות ההעברה של משתמשי הקצה מוגדרים בצורה מתאימה.
   1. עדכן את אפשרויות שחזור החשבון.
   2. כדאי לבדוק אם יש פעילות חריגה בחשבון.
   3. בודקים אם יש הודעות חסרות או חשודות.
   4. בודקים אם יש שגיאות באנשי הקשר.
   5. בודקים את ההגדרות של Gmail.

שלב 1. הרשמה לאימות דו-שלבי באמצעות מפתחות אבטחה

הפעלת אימות דו-שלבי מוסיפה עוד שכבת אבטחה לחשבונות של המשתמשים. המשתמשים נדרשים להזין קוד אימות בנוסף לשם המשתמש והסיסמה שלהם כשהם נכנסים לחשבונות. פרטים נוספים זמינים במאמר בנושא הוספת אימות דו-שלבי. מומלץ להשתמש במפתחות אבטחה במקום בקודי אבטחה לאימות דו-שלבי, כדי לשפר את ההגנה מפני פישינג.

שלב 2. הוספה, אבטחה או עדכון של אפשרויות שחזור

הוראות להוספת כתובות אימייל משניות ומספרי טלפון משניים זמינות במאמר הוספת אפשרויות שחזור לחשבון האדמין. מומלץ לאבטח את כתובות האימייל המשניות על ידי שינוי הסיסמאות או עדכון כתובת האימייל המשנית לכתובת חדשה.

שלב 3. הפעלת התראות על פעילות בחשבון

אדמינים יכולים לבחור לקבל התראות על פעילות בחשבון כשמתרחשים אירועים חשובים, כמו כניסות חשודות או שינויים בהגדרות השירות על ידי אדמינים אחרים.

במרכז הבטיחות של Google אפשר למצוא המלצות כלליות לשמירה על אבטחת החשבון.