Pilny alert dla wszystkich posiadaczy konta Gmail – nie ignorujcie 6 ważnych nowych zasad

Jest nowy alert bezpieczeństwa dla użytkowników poczty e-mail, a tym razem ataki uderzają w konta Google i Gmail. Te popularne platformy są jednymi z najbezpieczniejszych na świecie , a użytkownicy są chronieni nie tylko przez zaawansowane filtrowanie spamu, ale także bezpieczniejsze sposoby logowania się do kont za pomocą uwierzytelniania wieloskładnikowego.

Mimo że te rozwiązania zapewniają bezpieczeństwo większości ludzi, teraz nie jest dobry moment, aby popadać w samozadowolenie.

Potwierdzono, że rosyjscy hakerzy niedawno znaleźli sposób na ominięcie niektórych środków bezpieczeństwa Google. To pozostawiło niektóre konta otwarte na ataki.

To najnowsze zagrożenie zostało zauważone przez badaczy bezpieczeństwa z Google Threat Intelligence Group. Od tego czasu potwierdzono, że ukierunkowane ataki już miały miejsce, dlatego tak ważne jest, aby być świadomym tego ostrzeżenia.

Jak zatem działa to zagrożenie i czy powinniśmy się martwić?

Jak większość osób wie, konta Google są bardzo bezpieczne, a użytkownicy muszą korzystać z wielu metod, aby uzyskać dostęp do usług takich jak Gmail.

Należy do nich niezwykle ważne uwierzytelnianie dwuskładnikowe, które wysyła wiadomość do urządzenia pomocniczego podczas próby dostępu do konta — bez tego kodu nie ma możliwości zalogowania się.

Wygląda jednak na to, że rosyjscy cyberprzestępcy znaleźli sposób na atakowanie starszych telefonów i innych urządzeń, które nie są w stanie obsłużyć tego dodatkowego kroku weryfikacji.

Google oferuje inną metodę zabezpieczeń — hasła aplikacji. Są to specjalne 16-cyfrowe kody, których celem jest ochrona mniej nowoczesnych urządzeń.

Niestety, ponieważ hasła aplikacji pomijają drugi etap weryfikacji, hakerzy mogą je łatwiej ukraść lub wyłudzić.

Według ekspertów z Malwarebytes , oszuści wykorzystali tę metodę, aby atakować wybitnych naukowców i krytyków Rosji .

„Napastnicy początkowo nawiązali kontakt, podszywając się pod przedstawiciela Departamentu Stanu i zapraszając ofiarę na konsultację w ramach prywatnej rozmowy online” – wyjaśnia Malwarebytes.

„Podczas gdy cel uważa, że ​​tworzy i udostępnia hasło aplikacji, aby uzyskać dostęp do platformy Departamentu Stanu w bezpieczny sposób, w rzeczywistości daje atakującemu pełny dostęp do swojego konta Google”.

Choć był to bardzo ukierunkowany atak, nie oznacza to, że kolejnym jego celem nie będzie ogół społeczeństwa, ponieważ hakerzy ciągle szukają nowych sposobów na kradzież danych osobowych.

„Teraz, gdy to obejście jest znane, możemy spodziewać się w przyszłości większej liczby ataków socjotechnicznych wykorzystujących hasła specyficzne dla aplikacji” – ostrzega Malwarebytes.

Jeśli ten nowy atak Cię zaniepokoił, eksperci ds. bezpieczeństwa z Malwarebytes udzielają porad, jak zachować bezpieczeństwo.

Oto 6 nowych zasad, których każdy powinien przestrzegać.

• Używaj haseł aplikacji tylko wtedy, gdy jest to absolutnie konieczne. Jeśli masz możliwość zmiany na aplikacje i urządzenia obsługujące bezpieczniejsze metody logowania, dokonaj tej zmiany.

• Zalecenie włączenia MFA nadal jest aktualne, ale nie wszystkie MFA są sobie równe. Aplikacje uwierzytelniające (takie jak Google Authenticator) lub klucze sprzętowe (FIDO2/WebAuthn) są bardziej odporne na ataki niż kody oparte na SMS-ach, nie mówiąc już o hasłach aplikacji.

• Regularnie edukuj siebie i innych na temat rozpoznawania prób phishingu. Atakujący często omijają MFA, oszukując użytkowników, aby ujawnili dane uwierzytelniające lub hasła aplikacji za pomocą phishingu.

• Regularnie aktualizuj system operacyjny i aplikacje, których używasz, aby łatać luki, które atakujący mogą wykorzystać. Włączaj automatyczne aktualizacje, kiedy tylko jest to możliwe, aby nie musieć o nich pamiętać.

• Zwracaj uwagę na nietypowe próby logowania lub podejrzane zachowania, takie jak logowania z nieznanych lokalizacji lub urządzeń. I ograniczaj te logowania, jeśli to możliwe.

• Używaj oprogramowania zabezpieczającego, które potrafi blokować złośliwe domeny i rozpoznawać oszustwa.