Προειδοποίηση προς 1,8 δισ. χρήστες του Gmail για υποκλοπές κωδικών – «Έχετε επτά ημέρες για να δράσετε»
Σε κατάσταση αυξημένης επιφυλακής βρίσκονται οι χρήστες της υπηρεσίας Gmail, έπειτα από κύμα επιθέσεων ηλεκτρονικού «ψαρέματος» (phishing) που αποσκοπούν στην υποκλοπή κωδικών πρόσβασης. Παρά τη σοβαρότητα των περιστατικών, η Google διαβεβαιώνει πως ακόμη και σε περίπτωση παραβίασης λογαριασμού, οι χρήστες έχουν έως επτά ημέρες για να τον επανακτήσουν.
Πώς μπορείτε να επανακτήσετε τον έλεγχο του λογαριασμού σας
Σύμφωνα με την εταιρεία, το κλειδί για την ανάκτηση ενός λογαριασμού είναι η ύπαρξη εναλλακτικών στοιχείων επαλήθευσης, όπως αριθμός τηλεφώνου ή εφεδρικό email. Μέσω αυτών, ο χρήστης μπορεί να απαντήσει σε ερωτήσεις ασφαλείας και να επιβεβαιώσει την ταυτότητά του.
Η Google παροτρύνει όλους τους χρήστες να ενεργοποιήσουν άμεσα αυτά τα μέτρα ασφαλείας, εάν δεν το έχουν ήδη κάνει.
Εξαιρετικά πειστική απάτη μέσω ψευδών e-mails
Η νέα επίθεση ήρθε στο φως έπειτα από ανάρτηση του Nick Johnson, προγραμματιστή στην πλατφόρμα Ethereum, ο οποίος κοινοποίησε στιγμιότυπο ηλεκτρονικού μηνύματος που φαινόταν να προέρχεται από επίσημη διεύθυνση της Google. Το email τον πληροφορούσε ότι έχει λάβει ένταλμα κλήσης και καλείται να παραδώσει τα στοιχεία του λογαριασμού του.
Ο σύνδεσμος στο email οδηγούσε σε έναν ψεύτικο «υποστηρικτικό ιστότοπο», κατασκευασμένο με εργαλεία της Google (Google Sites), ώστε να φαίνεται νόμιμος. Εκεί, του ζητήθηκε να «ανεβάσει επιπλέον έγγραφα» και να «δει την υπόθεση» μέσω συνδέσμων που παρέπεμπαν σε αντίγραφα αυθεντικών σελίδων της Google.
«Απ’ ό,τι φαίνεται, το σύστημα συλλέγει τα διαπιστευτήριά σου και τα χρησιμοποιεί για να αποκτήσει πρόσβαση στον λογαριασμό σου», εξηγεί ο Johnson, σημειώνοντας ότι το email πέρασε ακόμη και τον έλεγχο ψηφιακής υπογραφής DKIM, που αποσκοπεί στην αναγνώριση αλλοιωμένων μηνυμάτων. Επιπλέον, δεν συνοδευόταν από προειδοποιήσεις ασφαλείας από την Gmail.
Αντίδραση της Google
Σε δήλωσή της στο DailyMail.com, εκπρόσωπος της Google ανέφερε:
«Γνωρίζουμε για αυτήν την κατηγορία στοχευμένων επιθέσεων από συγκεκριμένο φορέα απειλών και έχουμε ήδη εφαρμόσει μηχανισμούς για να περιορίσουμε αυτή τη μέθοδο κατάχρησης.»
Η εταιρεία συνιστά την υιοθέτηση επαλήθευσης δύο παραγόντων (2FA) και passkeys, ενός νέου τύπου ασφαλούς ταυτοποίησης που δεν μπορεί να υποκλαπεί εύκολα. Σε αντίθεση με τους απλούς κωδικούς, τα passkeys λειτουργούν μόνο στη συσκευή στην οποία έχουν καταχωρηθεί, καθιστώντας άχρηστες τις υποκλαπείσες πληροφορίες σε ξένες συσκευές.
Επιπλέον, η Google υπενθυμίζει:
«Η εταιρεία δεν θα ζητήσει ποτέ τον κωδικό σας, ούτε προσωρινούς κωδικούς μιας χρήσης ή push ειδοποιήσεις, και δεν θα σας καλέσει τηλεφωνικά για να τα ζητήσει.»
Πώς να εντοπίσετε τα ύποπτα μηνύματα
Οι επιθέσεις phishing βασίζονται στη χειραγώγηση της εμπιστοσύνης του χρήστη. Το μήνυμα φαίνεται νόμιμο, συνήθως έχει επείγον χαρακτήρα και ζητά να γίνει άμεση ενέργεια, ζητώντας συνήθως στον χρήστη να κάνει κλικ σε κάποιον σύνδεσμο.
Σύμφωνα με ειδικούς:
- Τα μηνύματα αυτά συχνά ξεκινούν με γενικούς χαιρετισμούς.
- Αναφέρουν ότι υπάρχει σοβαρό πρόβλημα που χρειάζεται την άμεση παρέμβασή σας.
- Συμπεριλαμβάνουν σύνδεσμο που σας ζητούν να πατήσετε για να «επικυρώσετε» ή να «ενημερώσετε» στοιχεία.
Οι απάτες γίνονται ολοένα πιο πειστικές, όμως υπάρχουν ενδείξεις που αποκαλύπτουν τη μη αυθεντικότητα τους, όπως μικρά ορθογραφικά λάθη, περίεργες διευθύνσεις αποστολέα ή ασυνήθιστες απαιτήσεις.
Τι μπορείτε να κάνετε τώρα
- Ενεργοποιήστε εφεδρικό email και τηλέφωνο ανάκτησης.
- Ενεργοποιήστε επαλήθευση δύο παραγόντων (2FA).
- Αντικαταστήστε τον κωδικό σας με passkey, όπου υποστηρίζεται.
- Μην δίνετε ποτέ τον κωδικό σας, ακόμα και αν το μήνυμα φαίνεται νόμιμο.
- Αναφέρετε ύποπτα emails στη Google.
Η Google διαβεβαιώνει πως, ακόμη και αν ο λογαριασμός σας παραβιαστεί, έχετε περιθώριο επτά ημερών να τον ανακτήσετε, υπό την προϋπόθεση ότι έχετε λάβει εγκαίρως τα βασικά μέτρα ασφάλειας.
Content Original Link:
" target="_blank">
