Google adviseert het blokkeren van usb-apparaten om zo fysieke datadiefstal door criminelen tegen te gaan. Aanleiding zijn aanvallen door een groep criminelen die fysiek bij organisaties langsgaat om data te stelen. De groep wordt door Google UNC3753 genoemd, maar staat ook bekend als "Luna Moth", "Chatty Spider" en "Silent Ransom Group". Onlangs kwam de FBI ook al met een waarschuwing voor deze groep.

De groep voert zowel remote als fysieke aanvallen uit, waarbij de aanvallers zich voordoen als helpdeskmedewerker. Bij de remote aanvallen proberen de aanvallers het slachtoffer remote access software te laten downloaden, zoals AnyDesk, Bomgar of Zoho Assist. Zodra het slachtoffer deze software installeert kunnen de aanvallers het systeem overnemen en zoeken vervolgens op netwerkschijven naar gevoelige documenten. De aanvallers sturen gevonden data naar een remote server en persen de aangevallen organisaties er daarna mee af.

Er zijn ook meerdere incidenten bekend waarbij de aanvallers fysiek bij organisaties langsgingen en zich voordeden als it-personeel. Zodra de aanvallers toegang tot een systeem hadden gekregen probeerden ze via een usb-stick allerlei data te stelen en zo mee te nemen. De fysieke aanval wordt toegepast wanneer eerdere remote social engineering mislukt. De aanvallers die langskomen claimen dat ze wegens een beveiligingsprobleem een systeem-image of lokale back-up moeten maken.

Volgens Google is het belangrijk dat organisaties beleid instellen waarbij externe contractors, technisch personeel en bezoekers officiële identiteitsbewijzen tonen. Ook moeten alle bezoekers worden geregistreerd voordat ze toegang tot het pand krijgen. Tevens moet it-personeel dat langskomt altijd worden begeleid door een supervisor. Op technisch gebied adviseert Google om de mogelijkheid uit te schakelen om van usb-apparaten te lezen of ernaartoe te schrijven. Ook moet het aansluiten van usb-apparaten worden beperkt, alsmede de mogelijkheid om naar optische media te schrijven.