Google je poslao hitno upozorenje 1,8 milijardi korisnika Gmail-a: Izbrišite ovu e-poštu odmah!

Napad je prvi prijavio Nik Džonson, programer koji radi za platformu za kriptovalute Ethereum.

- Nedavno sam bio meta izuzetno sofisticiranog fišing napada. Napad iskorišćava ranjivost u Google infrastrukturi, a s obzirom na njihovo odbijanje da reše problem, verovatno ćemo ga videti više u budućnosti - napisao je Džonson u sredu na mreži Iks.

Takođe je podelio snimak ekrana e-pošte koju je dobio, a koja je izgledala kao da dolazi sa legitimne Google adrese, a tvrdio je da mu je dostavljen sudski nalog u vezi sa njegovim Google nalogom, sa kojim bi morao da omogući pristup nalogu.

- Jedini nagoveštaj da je ovo "pecanje" jeste da se poruka hostuje na sites.google.com umesto na accounts.google.com - objasnio je Džonson.

Klikom na lažnu vezu u mejlu, odveden je na veoma ubedljivu stranicu "portala podrške". Nakon što je kliknuo na "Otpremi dodatne dokumente" i "Prikaži slučaj", obe opcije su ga odvele do identičnih kopija stvarnih Google stranica.

Te stranice su tražile od njega da se prijavi na svoj Google nalog.

- Od tog trenutka, oni verovatno prikupljaju vaše podatke za prijavu i koriste ih da bi kompromitovali vaš nalog. Nisam otišao dalje da to proverim - rekao je.

On je dodao da je zlonamerni mejl prošao DKIM proveru potpisa, što potvrđuje da imejl nije menjan na putu do korisnika i da ga je Gmail prikazao bez ikakvih upozorenja.

- Čak ga je prikazao u istom razgovoru kao i druga, legitimna bezbednosna obaveštenja - istakao je on.

U izjavi za DailyMail.com, portparol Google je rekao:

- Svesni smo ove vrste ciljanog napada ovog aktera i primenili smo zaštitu da zatvorimo ovaj oblik zloupotrebe. U međuvremenu, podstičemo korisnike da omoguće dvofaktorsku autentifikaciju i koriste pristupne ključeve, koji pružaju snažnu zaštitu od ovih vrsta fišing kampanja.

Kompanija je dodala da je uklonila mehanizam koji je omogućio ovu vrstu napada, a nedavno je objavila i uputstva o tome kako prepoznati i izbeći prevare putem mejla:

- Google nikada neće tražiti od vas da date informacije za pristup nalogu - uključujući lozinke, jednokratne kodove, potvrde push obaveštenja i slično - niti će vas pozvati.

Napadi fišinga poput ovog imaju za cilj da prevare korisnike da podele svoje lične podatke sa hakerima, koji ih onda mogu koristiti za krađu identiteta ili novca.

Cilj je da poruka izgleda što je moguće legitimnije kako bi se korisnici naveli da poveruju da pružaju informacije kompaniji od poverenja. Zbog toga su hakeri koristili Google Sites u ovom napadu na Gmail, jer znaju da će ljudi videti domen google.com i pomisliti da je sve u redu, objasnio je Džonson.

Ako koristite lozinku za prijavu na Gmail i nehotice je podelite sa hakerima, oni mogu lako da pristupe vašem nalogu. Oni samo treba da unesu vašu lozinku i 2FA kod na svom uređaju. Ali korišćenjem lozinke i 2FA zaštite, hakovanje naloga postaje mnogo teže.

Passkei je siguran, nasumično generisan kod za prijavu koji se ne može lako pogoditi, ukrasti ili lažirati. Radi isključivo na fizičkom uređaju sa kojim je povezan, što znači da hakeri ne mogu da ga iskoriste na svom računaru ili telefonu. Prelaskom na pristupni ključ, korisnici mogu da nauče da prepoznaju znake fišing napada kako bi dodatno zaštitili svoje onlajn naloge.

Kako prepoznati znake fišinga?

Iako ove vrste prevara postaju sve teže prepoznati i dalje postoje karakteristični znaci: generalni pozdrav, tvrdnja da postoji hitan problem koji zahteva vašu akciju i poziv da kliknete na link su definitivno među prva tri.

Iako kompanije poput Google komuniciraju putem e-pošte, one vam nikada neće poslati vezu koja zahteva da ažurirate svoje podatke za prijavu ili plaćanje.

S obzirom na to da najnoviji fišing napad navodi korisnike da veruju da se radi o zahtevu vlade ili pravosudne institucije, važno je znati da će u takvim slučajevima, kao što je navedeno na njihovim stranicama "Privatnost i uslovi korišćenja", Google zaista obavestiti korisnika putem e-pošte.

- Kada primimo zahtev od vladine agencije, šaljemo obaveštenje na nalog korisnika pre nego što otkrijemo podatke. Ako nalogom upravlja organizacija, šaljemo obaveštenje administratoru naloga. Nećemo slati obaveštenje osim ako nije zakonom zabranjeno. Poslaćemo obaveštenje nakon što zakonska zabrana istekne - na primer, nakon isteka zakonskog ili sudskog perioda poverljivosti. Zato je ponekad veoma teško razlikovati legitiman zahtev od lažnog - navedeno je.

Google stoga upozorava:

- Budite oprezni svaki put kada dobijete poruku sa veb lokacije koja od vas traži lične podatke. Ako dobijete ovakvu poruku, nemojte unositi nikakve informacije dok ne potvrdite da je sajt legitiman. Ako je moguće, otvorite stranicu u novom prozoru umesto da kliknete na vezu u e-poruci. Google vam nikada neće poslati neželjenu poruku u kojoj se traži vaša lozinka ili lične informacije.