Hakerzy zamieniają skrzynki odbiorcze w strefy zagrożenia.
Google wydał pilne ostrzeżenie dla swoich 3 miliardów użytkowników Gmaila po potwierdzeniu „wyrafinowanego” oszustwa phishingowego celowanie w niczego niepodejrzewających wiadomości e -mail – a cyberkrożeni są tak podstępni, że nawet doświadczeni technicy się na to zakochują.
Deweloper Nick Johnson brzmiał alarm w mediach społecznościowych – Po prawie oszukaniu przez tak gładką, że użył własnej infrastruktury Google, aby wyglądać legalnie.
„Ostatnio byłem atakowany przez Niezwykle wyrafinowany Atak phishingowy – napisał Johnson 16 kwietnia.
„Wykorzystuje podatność na infrastrukturę Google i biorąc pod uwagę ich odmowę jej naprawienia, prawdopodobnie zobaczymy to znacznie więcej”.
Pułapka była ukryta jako oficjalny e-mail, twierdząc, że został potrącony wezwaniem do jego konta Google.
To nawet pochodzi z tego, co wyglądało Prawdziwy adres Google.
„Jedyną wskazówką jest phish, jest to, że jest hostowana na stronie
Kliknięcie linku doprowadziło do fałszywego „portalu wsparcia” z martwymi duplikatami prawdziwych stron logowania Google- Zaprojektowany, aby oszukać użytkowników przekazać swoje poświadczenia.
„Stamtąd prawdopodobnie zbierają twoje poświadczenia logowania i wykorzystują je do naruszenia konta” – ostrzegł Johnson.
„Wprowadza to nawet w tę samą rozmowę, co inne, uzasadnione alerty bezpieczeństwa”.
Co gorsza, zacieniony e -mail przekazał czek DKIM Google (zidentyfikowana poczta Domainkeys), co oznacza, że Gmail traktował to jak tylko kolejna wiadomość.
W ostatnim oświadczenie W Daily Mail rzecznik Google powiedział: „Jesteśmy świadomi tej klasy ukierunkowanego ataku tego aktora zagrożonego i wprowadziliśmy ochronę przed zamknięciem tej drogi do nadużycia. W międzyczasie zachęcamy użytkowników do przyjęcia uwierzytelniania dwuskładnikowego i Passkeys, które zapewniają silną ochronę przed kampaniami phishingowymi”.
Google twierdzi, że już blokuje lukę, która umożliwiła oszustwo – i wprowadził nowe porady, które pomogą użytkownikom uniknąć podobnych pułapek e -mail.
„Google nie poprosi o żadne z twoich poświadczeń konta-w tym hasło, hasła jednorazowe, potwierdź powiadomienia push itp.-a Google nie zadzwoni”-podkreślił rzecznik.
Cyberprzepada za oszustwem, używa witryn Google, aby nadać swoje podstępu wiarygodności, bankowość na temat faktu, że większość ludzi nie zgadnie znajomego adresu URL.
„Te oszustwa są zaprojektowane tak, aby wyglądały tak realne, jak to możliwe”, powiedział Johnson, ostrzegając, że wielu użytkowników nie zauważy niewielkiej poprawki w nazwie domeny – co może oznaczać poważne bóle głowy dla ich kont bankowych lub tożsamości.
Użytkownicy Gmaila polegają wyłącznie na hasłach szczególnie wrażliwy.
Jeśli haker złapie informacje o logowaniu i nie używasz Uwierzytelnianie dwuskładnikowe (2FA) lub Passkeys, mogą walczyć bezpośrednio na twoje konto.
Z drugiej strony passkey to metoda logowania związana ze sprzętem, której hakerzy nie mogą po prostu przesunąć i używać-co czyni go znacznie bezpieczniejszym rozwiązaniem.
Tymczasem próby phishingowe stają się coraz trudniejsze do zauważenia. Czerwone flagi obejmują niejasne pozdrowienia, pilny ton i klikalne linki wymagające natychmiastowego działania – szczególnie w odniesieniu do danych osobowych lub dostępu do konta.
Mimo że Google wysyła e -maile na temat problemów z kontem, technologiczny Titan twierdzi, że zawsze powinieneś myśleć dwa razy przed kliknięciem.
Według Google Strona prywatności i warunków„Gdy otrzymamy wniosek od agencji rządowej, przed ujawnieniem informacji wysyłamy wiadomość e -mail na konto użytkownika. Jeśli konto jest zarządzane przez organizację, powiadomimy administratora konta”.
I na wypadek, gdybyś pomyślał, że go wymyśliłeś, Google dodaje: „Nie powiadomimy, gdy jest prawnie zabroniony na warunkach wniosku. Powinnimy powiadomienie po zniesieniu prawnego zakazu, na przykład gdy wygasł ustawowy lub uporządkowany przez sąd okres kneblowy”.
Podsumowując: jeśli otrzymasz szkicowy e-mail z prośbą o dane osobowe, nie kliknij.
Zamiast tego otwórz witrynę w osobnym oknie przeglądarki i sprawdź dwukrotnie źródło.
