Η Google εξέδωσε κατεπείγουσα προειδοποίηση προς τους 1,8 δισεκατομμύρια χρήστες του Gmail για μια νέα, εξελιγμένη μορφή ηλεκτρονικής απάτης (phishing), η οποία χρησιμοποιεί ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από την ίδια την εταιρεία.
Η επίθεση πραγματοποιείται μέσω πλαστών email που χρησιμοποιούν τη διεύθυνση no-reply@accounts.google.com, επιχειρώντας να πείσουν τους χρήστες ότι οι αρχές επιβολής του νόμου ζητούν την πρόσβαση στα δεδομένα των λογαριασμών τους. Το μήνυμα περιλαμβάνει σύνδεσμο προς ψεύτικη σελίδα υποστήριξης της Google, μέσω της οποίας οι χρήστες ενδέχεται να παραχωρήσουν πρόσβαση στους επιτιθέμενους.
Πώς λειτουργεί η επίθεση
Οι δράστες εκμεταλλεύονται το Google OAuth, ένα σύστημα που επιτρέπει σε τρίτες εφαρμογές να αποκτούν περιορισμένη πρόσβαση σε λογαριασμούς Gmail με τη συναίνεση των χρηστών. Αν κάποιος κάνει κλικ στον κακόβουλο σύνδεσμο και αποδεχτεί την πρόσβαση, οι κυβερνοεγκληματίες αποκτούν δικαιώματα σε email, αρχεία και άλλα προσωπικά δεδομένα.
Ο πρώην μηχανικός της Google και ειδικός στην ασφάλεια, Nick Johnson, προειδοποιεί ότι οι απατεώνες δημιουργούν πειστικές, ψεύτικες εφαρμογές και ιστοσελίδες, ενώ ενσωματώνουν και malware, ικανό να υποκλέψει κωδικούς πρόσβασης ή να δώσει απομακρυσμένο έλεγχο στη συσκευή του χρήστη.
Οδηγίες ασφαλείας από τη Google
Μην κάνετε κλικ σε ύποπτους συνδέσμους που περιλαμβάνονται σε email – ειδικά εάν αφορούν προσωπικά δεδομένα ή δήθεν αιτήματα της Google.
Ελέγχετε τη διεύθυνση αποστολέα, ακόμη και αν φαίνεται επίσημη. Πολλά ύποπτα email χρησιμοποιούν παραπλανητικές διευθύνσεις, π.χ. me@googl-mail-smtp-out….
Μην κατεβάζετε συνημμένα αρχεία αν δεν είστε βέβαιοι για την προέλευση.
Αντί να ακολουθείτε συνδέσμους, πληκτρολογείτε χειροκίνητα τη διεύθυνση support.google.com.
Σύσταση για χρήση passkeys
Η Google ενθαρρύνει τους χρήστες να υιοθετήσουν passkeys αντί για συμβατικούς κωδικούς πρόσβασης. Τα passkeys βασίζονται σε κρυπτογραφικά κλειδιά που ενεργοποιούνται με βιομετρικά στοιχεία ή PIN και είναι πιο ασφαλή έναντι επιθέσεων phishing.
Ήδη εταιρείες όπως η Microsoft και η Apple έχουν προχωρήσει στην ευρεία χρήση passkeys, τα οποία θεωρούνται πιο ανθεκτικά και φιλικά προς τον χρήστη από τις παραδοσιακές μεθόδους.
