זיהוי ואבטחה של חשבונות שנפרצו

שלב 1. השעיה זמנית של חשבון משתמש שנחשד שנפרץ

1. משעים את המשתמש כדי למנוע גישה לא מורשית.

   הערה: השעיה של משתמש גורמת לאיפוס של קובצי Cookie של פרטי הכניסה לחשבון ואסימוני OAuth.

2. בודקים את הפעילות שעשויה להיות לא מורשית ומשחזרים את החשבון. אפשר גם להירשם לאימות דו-שלבי (2SV) בדומיין.
3. מבקשים מהמשתמש שהושפע לבדוק את כתובת האימייל לשחזור החשבון ולהשלים את רשימת המשימות לאבטחת Gmail.

שלב 2. בדיקת החשבון לאיתור פעילות לא מורשית

1. אם המשתמש שנפרץ הוא אדמין, כדאי לבדוק את יומני הביקורת של האדמין כדי לראות אם המשתמש ביצע שינויים בהגדרות לאחרונה. אם השלב הזה לא רלוונטי, אפשר לדלג עליו.
2. בודקים את המכשירים הניידים שמשויכים לחשבון שנפגע ומאפסים את כל המכשירים החשודים.
3. בודקים את הפעילות שיכול להיות שהיא לא מורשית:
   1. אפשר להשתמש באירועים ביומן המשתמשים במסוף Admin כדי לראות רשימה מלאה של כניסות מוצלחות ולא מוצלחות מבוססות-אינטרנט בדומיין שלכם, עד 6 חודשים אחורה. כניסות חשודות לחשבון מסומנות בסמל אזהרה. אפשר גם לאחזר את הכניסות לחשבונות בדומיין באמצעות Reports API.
   2. משתמשים בחיפוש ביומן האימייל (ELS) כדי לבדוק את יומני המסירה של הדומיינים ולהעריך את מעבר ההודעות אל החשבונות שנפרצו ואת ההודעות שיוצאות מהם. אם החשבון מנוהל על ידי Vault, אפשר להשתמש בחיפוש ביומן האימייל כדי לבדוק את פעילות האימייל.
      הערה: אם המשתמשים שלכם ישדרגו למהדורה שכוללת את Vault, הם יוכלו לשחזר אימיילים או מסמכים שנמחקו באופן סופי.
   3. להשתמש בדוח האבטחה כדי להעריך את החשיפה של הדומיין לסיכוני אבטחת מידע. מומלץ לעיין בדוחות הבאים:
      • אירועים ביומן של OAuth
      • אירועים ביומן של קבוצות Google
      • אירועים ביומן של Drive

        התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus;‏ Business Starter,‏ Business Standard ו-Business Plus;‏ Enterprise Standard ו-Enterprise Plus;‏ Education Fundamentals,‏ Education Standard ו-Education Plus;‏ Essentials Starter,‏ Essentials,‏ Enterprise Essentials ו-Enterprise Essentials Plus;‏ G Suite Business. השוואה בין מהדורות

      • אירועים ביומן של יומן Google
   4. לבדוק אם נוצרו הגדרות זדוניות. אפשר לאחזר הגדרות של חשבונות משתמשים (כמו הגדרות העברה) באמצעות Gmail API. אם יש לכם חשד שנעשה שימוש בחשבון פרטי ב-Gmail (למשל, ‎@gmail.com) כחלק מהפריצה הזו, אתם יכולים לדווח על כך.

שלב 3. ביטול הגישה לחשבון שהושפע מהחשיפה

1. פועלים לפי השלבים במאמר איך מאפסים סיסמה של משתמש.
2. ביטול טוקנים מסוג OAuth 2.0 עבור המשתמש.
3. חלק מהאפליקציות שמשתמשות בשיטת האימות OAuth 2.0 יפסיקו לגשת לנתונים אחרי איפוס הסיסמה של משתמש. המשתמש צריך להיכנס באמצעות שם החשבון והסיסמה החדשה כדי לקבל טוקן חדש של OAuth 2.0.
4. מסירים סיסמאות לאפליקציות שהמשתמש יצר.

שלב 4. החזרת הגישה למשתמש

1. ביטול ההשעיה של החשבון.
2. מודיעים למשתמשים מה הסיסמאות הזמניות החדשות שלהם ומבקשים מהם להגדיר סיסמאות חדשות וייחודיות (סיסמאות שלא נמצאות בשימוש באתרים או באפליקציות אחרים).
3. מומלץ להפעיל אימות דו-שלבי בדומיין ולרשום משתמשים באמצעות מפתחות אבטחה (מומלץ יותר מקודי אימות דו-שלבי).
4. עובדים עם המשתמשים כדי להשלים את רשימת המשימות לאבטחת Gmail למשתמשי קצה. לדוגמה, צריך לוודא שכל המסננים ואפשרויות ההעברה של משתמשי הקצה מוגדרים בצורה מתאימה.
   1. עדכנו את האפשרויות לשחזור החשבון.
   2. כדאי לבדוק אם יש פעילות חריגה בחשבון.
   3. בודקים אם יש הודעות חסרות או חשודות.
   4. בודקים אם יש שגיאות באנשי הקשר.
   5. בודקים את ההגדרות של Gmail.

שלב 1. הרשמה לאימות דו-שלבי באמצעות מפתחות אבטחה

הפעלת אימות דו-שלבי מוסיפה עוד שכבת אבטחה לחשבונות של המשתמשים. המשתמשים נדרשים להזין קוד אימות בנוסף לשם המשתמש והסיסמה שלהם כשהם נכנסים לחשבונות. פרטים נוספים מופיעים במאמר הוספת אימות דו-שלבי. אנחנו ממליצים להשתמש במפתחות אבטחה במקום בקודי אבטחה של אימות דו-שלבי כדי לשפר את ההגנה מפני פישינג.

שלב 2. הוספה, הגנה או עדכון של אפשרויות שחזור

הוראות להוספת כתובות אימייל משניות ומספרי טלפון מופיעות במאמר הוספת אפשרויות שחזור לחשבון האדמין. מומלץ לאבטח את כתובות האימייל המשניות על ידי שינוי הסיסמאות או עדכון כתובת האימייל המשנית לכתובת חדשה.

שלב 3. הפעלת התראות על פעילות בחשבון

אדמינים יכולים לבחור לקבל התראות על פעילות בחשבון כשמתרחשים אירועים חשובים, כמו כניסות חשודות או שינויים בהגדרות השירות על ידי אדמינים אחרים.

במרכז הבטיחות של Google אפשר למצוא המלצות כלליות לשמירה על אבטחת החשבון.