Przestępcy znaleźli wysublimowany sposób na obejście uwierzytelniania dwuskładnikowego w poczcie Gmail.
Trudno wyobrazić sobie bardziej istotne dla przeciętnego użytkownika internetu konto (oprócz konta bankowego), niż jego konto pocztowe. To z niego autoryzujemy prawie wszystkie inne konta, to na niego przychodzi ważna korespondencja finansowa, medyczna, czy związana z pracą i w końcu — to właśnie tam umieszczane są wszystkie informacje dotyczące np. zapomnianych haseł.
Polecamy na Geekweek: YouTube otrzyma nowy wygląd. Jakie zmiany szykuje Google?
To sprawia, że konto pocztowe powinno (i bardzo często jest) szczególnie chronione. Długie, trudne do odgadnięcia, unikatowe hasło w połączeniu z uwierzytelnianiem dwuskładnikowym to dziś niemal już standard, jeżeli chodzi o zabezpieczenia kont mailowych i możliwość odblokowania 2FA jest w popularnych usługach od lat.
Jednak jak się okazuje — czasem nawet i takie zabezpieczenia nie wystarczą. Ataki hakerskie są bowiem coraz bardziej wyrafinowane, a słabym punktem jest, a jakże, sam użytkownik.
Pokusili się na łatwy zysk. Skutkiem utrata kont Gmail
Na oficjalnym forum Gmaila pojawiają się informacje o tym, że konta części użytkowników Gmaila zostały przejęte pomimo tego, że mieli oni włączoną dwuskładnikową identyfikację. Magazyn Forbes łączy te przypadki z atakiem, który właśnie obecnie ma miejsce i który celuje w osoby interesujące się kryptowalutami.
Według tamtejszych doniesień Hakerzy biorą na cel osoby, które wykazały swoje zainteresowanie kryptowalutą XRP, stworzoną przez Ripple. Naturalnie, schemat w tym wypadku jest prosty — oferowanie użytkownikom podwojenia ilości kryptowaluty, którą ci wyślą do przestępców. W tym wypadku hakerzy pokusili się nawet o spoofing oficjalnego konta Ripple, a nawet stworzyli deepfake'owe wideo z szefem Ripple, Bradem Garlinghousem, aby dodatkowo uprawdopodobnić swoją "ofertę".
Jeżeli użytkownicy się namówić, link przekierowywał ich do strony, która próbowała zainstalować na ich komputerach specjalny malware. To z kolei atakowało przeglądarkę, wyciągając z niej pliki cookie odpowiedzialne za informowanie serwisów jak Gmail, że użytkownik wciąż ma aktywną sesję, więc nie musi wymagać od niego ponownego logowania (dzięki temu nie musimy za każdym razem wpisywać loginu i hasła, jeżeli otworzymy Gmail na nowej zakładce).
Dzięki nim przestępcy mogą zalogować się do poczty "udając" użytkownika, który ma aktywną sesję (ponieważ właśnie kliknął link w Gmailu) i zmienić dane dostępowe do konta. Tego, co dalej przestępcy mogą zrobić z informacjami znajdującymi się na poczcie, nie trzeba sobie nawet wyobrażać. Dlatego determinacja użytkowników, żeby odzyskać swoje konta, była oczywiście olbrzymia. Niestety, duża część z nich mówi, że oficjalne narzędzia do odzyskiwania w ich wypadku nie działają poprawnie.
Google ma świadomość, że taka forma ataku istnieje i zaznacza, że stara się minimalizować zagrożenie, m.in. wykorzystując pliki cookie zawierające informacje o urządzeniu, na którym zostały uruchomione. Jak jednak widać, nie zawsze to działa, a jednym z możliwych wyjaśnień są ustawienia prywatności, które mogły w tym wypadku zabronić Gmailowi dostępu do takich informacji.
Google zaznacza też, że jeżeli chcemy, możemy w naszym koncie Gmail ustawić "automatyczne odzyskiwanie konta", które pozwala na przywrócenie poprzednich ustawień do 7 dni po jego wykradzeniu, ale funkcja ta musi być ręcznie włączona zawczasu. Oprócz tego Google zaleca stosowanie nowszych systemów zabezpieczeń, jak passkeys czy "Google Security Checkup".
Jednak najważniejsza rada pozostaje zawsze taka sama — nie klikać w linki pochodzące z nieznanych kont oraz dwa razy zastanowić się, zanim damy się nabrać na to, że ktoś chce nam dać coś za darmo.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu