A Gmail-fiókok ellen irányuló támadások egyre kifinomultabbak, a csalók pedig már nem csak technikai trükkökkel, hanem pszichológiai nyomásgyakorlással próbálnak hozzáférni az adatokhoz. A Google szerint azonban van egy egyszerű szabály, amellyel azonnal felismerhetjük, ha csaló próbál meg minket rávenni a fiókunk „megmentésére”.
Támadók célkeresztjében a Gmail-fiókok
Az elmúlt években világszerte folyamatosan nőtt a kibertámadások száma, és a támadók módszerei is sokat fejlődtek. Ma már nem elég erős jelszót választani, a bűnözők ugyanis gyakran a felhasználók bizalmát próbálják meg elnyerni, hogy önként adják át a hozzáféréshez szükséges adatokat. A Gmail-fiókok különösen vonzó célpontnak számítanak, hiszen sokan ezeken keresztül intézik mind a magán-, mind az üzleti levelezésüket, és számos más online szolgáltatás is ehhez a címhez kapcsolódik.
A szakértők szerint a támadók egyre gyakrabban kombinálják az automatizált technikai próbálkozásokat a megtévesztő, emberre szabott kommunikációval. A cél szinte minden esetben ugyanaz: rávenni a felhasználót, hogy maga adja át azt az információt, amelyre a csalónak szüksége van a fiók átvételéhez.
Így indul a támadás: belépési kísérlet és biztonsági értesítés
A mostanában terjedő módszer lényege, hogy a csaló megpróbál belépni az áldozat Gmail-fiókjába. Ehhez sokszor elég, ha ismeri az e-mail-címet, amelyet korábbi adatszivárgásokból, kiszivárgott adatbázisokból vagy egyszerűen közösségi média profilokból is megszerezhet. A belépési kísérlet hatására a Google automatikus biztonsági értesítést küld a fiók tulajdonosának, jellemzően okostelefonra push üzenet formájában, vagy e-mailben.
Ez az értesítés önmagában a védelem része, hiszen jelzi, hogy valaki – esetleg egy ismeretlen eszközről vagy helyről – hozzáférést próbál szerezni a Gmail fiókhoz. A támadók azonban pont ezt a pillanatot használják ki, és erre építik fel a következő lépést.
A „Google biztonsági csapata” hív – itt kezdődik a manipuláció
Gyakori forgatókönyv, hogy közvetlenül a biztonsági értesítést követően a felhasználó telefonhívást kap. A hívó fél ilyenkor a „Google biztonsági csapatának” vagy „fiókvédelmi központjának” adja ki magát, és azt állítja, hogy észlelte a gyanús bejelentkezést, ezért segíteni szeretne a Gmail fiók „biztonságba helyezésében”.
A csalók sokszor rendkívül meggyőzően kommunikálnak: szakmai hangvételt használnak, hivatalosnak tűnő kifejezésekkel élnek, és magabiztosan hivatkoznak a Google biztonsági protokolljaira. Előfordulhat, hogy ismernek néhány alapadatot a felhasználóról, például a keresztnevét vagy a régióját, ezzel is növelve a hitelesség látszatát.
A beszélgetés célja azonban mindig ugyanaz: rávenni a felhasználót, hogy a saját készülékére érkező biztonsági kódot hangosan kimondja a telefonban, vagy a támadó által diktált felületen adja meg. Ezzel gyakorlatilag ő maga adja a kulcsot a fiókja ajtajához.
A legfontosabb jel: a Google nem hív fel jelszó vagy kód miatt
A Google egyértelmű iránymutatást ad arra az esetre, ha valaki ilyen hívást kap. A vállalat álláspontja szerint soha nem telefonálnak a felhasználóknak azért, hogy jelszót állítsanak vissza, biztonsági kódot kérjenek be, vagy fiókproblémát oldjanak meg. Ha tehát valaki telefonon keresi a felhasználót azzal, hogy a Gmail-fiókjával gond van, és azonnali „segítséget” kínál, szinte biztos, hogy csalóról van szó.
Ugyanez a logika érvényes más nagy technológiai cégekre is. Az Apple például kifejezetten arra figyelmeztet, hogy egy kéretlen telefonhívás során, ha valaki az Apple támogatási csapatának adja ki magát, a legbiztonságosabb az, ha azonnal bontjuk a vonalat. Sem a Google, sem az Apple, sem más komoly szolgáltató nem kéri el telefonon a kétlépcsős azonosításhoz használt kódokat.
A biztonsági kód a támadók első számú célpontja
Az ilyen jellegű támadások kulcsa a biztonsági kód. Amikor a Google gyanús bejelentkezést vagy új eszközről érkező hozzáférési kísérletet észlel, gyakran küld egy egyszer használatos kódot vagy jóváhagyó értesítést a felhasználó eszközére. Ha ezt a kódot a tulajdonos megosztja a támadóval – akár telefonon, akár chatben –, a bűnöző gyakorlatilag azonnal hozzáférhet a fiókhoz.
A hozzáférést követően a támadó átveheti az irányítást az Gmail fiók felett, megváltoztathatja a jelszót, átállíthatja a helyreállítási beállításokat, és hozzáférhet a Google Drive-ban tárolt dokumentumokhoz, fotókhoz, illetve más, a fiókhoz kapcsolódó szolgáltatásokhoz. Mivel sok online platformon a Gmail-címmel lehet jelszót visszaállítani, egy sikeres támadás könnyen dominóeffektust indíthat el más fiókoknál is.
Mit tehetnek a felhasználók? – gyakorlati tanácsok
A szakértők egyetértenek abban, hogy a legfontosabb védekezési szabály, hogy a biztonsági kódot semmilyen körülmények között nem szabad megosztani más személlyel. Ha olyan értesítést kapunk, amelyet nem mi magunk kezdeményeztünk – például nem próbáltunk új eszközről belépni, vagy nem kértünk jelszó-visszaállítást –, akkor különösen gyanakvónak kell lennünk.
Érdemes az alábbi alapelveket követni:
- Soha ne diktáljunk be telefonon biztonsági kódot, még akkor sem, ha a hívó fél a Google vagy más cég nevében mutatkozik be.
- Ha gyanús hívást kapunk, bontsuk a vonalat, majd közvetlenül a hivatalos weboldalon vagy appon keresztül ellenőrizzük fiókunk állapotát.
- Rendszeresen ellenőrizzük a belépési előzményeket és az aktív eszközöket a Google-fiók biztonsági beállításai között.
- Kapcsoljuk be a kétlépcsős azonosítást, és ahol lehet, részesítsük előnyben az alkalmazásalapú vagy eszközalapú hitelesítést az SMS-es kóddal szemben.
Jön a jelszavak utáni korszak: passkey és biometria
A technológiai szektor szereplői – köztük a Google és az Apple – egyre inkább azon dolgoznak, hogy leváltsák a klasszikus jelszó + SMS-kód kombinációt. Ennek egyik iránya az úgynevezett passkey megoldás, amely biometrikus azonosításra (például ujjlenyomat, arcfelismerés) vagy a felhasználó eszközéhez kötött, titkos kulcsokra épül.
A passkey rendszerek lényege, hogy a hitelesítéshez szükséges adatok nem hagyják el a felhasználó eszközét, így a támadóknak jóval nehezebb dolguk van. Mivel nincs megjegyzendő jelszó, és nincs hangosan kimondható kód, a telefonos social engineering típusú trükkök hatékonysága is csökken. Bár ezek az új megoldások még nem mindenhol elérhetők, érdemes élni velük, amikor a Google vagy más szolgáltató felajánlja az átállást.
A felhasználók biztonsága végső soron azon múlik, mennyire tudatosan kezelik a fiókjaikat és a biztonsági értesítéseket. Ha észben tartjuk az egyszerű szabályt – hogy a Google nem hív fel jelszót vagy biztonsági kódot kérni –, máris sokkal nehezebbé tesszük a csalók dolgát.