Η Google εξέδωσε κατεπείγουσα προειδοποίηση προς τους 3 δισεκατομμύρια χρήστες του Gmail για μια νέα, εξαιρετικά εξελιγμένη επίθεση phishing που εκμεταλλεύεται την ίδια την υποδομή της εταιρείας. Η απάτη χρησιμοποιεί ψεύτικα email που φαίνεται να προέρχονται από τη διεύθυνση [email protected], υποδυόμενα επίσημες ειδοποιήσεις ασφαλείας ή νομικές κλήσεις.
Πώς Λειτουργεί η Επίθεση
Οι επιτήδειοι εκμεταλλεύονται ευπάθειες στο σύστημα επαλήθευσης της Google, όπως το DKIM (DomainKeys Identified Mail) και το OAuth, για να στείλουν email που περνούν τους ελέγχους ασφαλείας και εμφανίζονται ως αυθεντικά. Phishing Tackle
Τα email περιλαμβάνουν:
-
Ψεύτικες ειδοποιήσεις για νομικές κλήσεις ή αιτήματα από αρχές επιβολής του νόμου.
-
Σύνδεσμο προς σελίδα που φιλοξενείται στο sites.google.com, η οποία μιμείται την επίσημη υποστήριξη της Google.
-
Αιτήματα για εισαγωγή διαπιστευτηρίων ή αποδοχή πρόσβασης σε λογαριασμό.
Η σελίδα αυτή είναι σχεδιασμένη να υποκλέπτει τα στοιχεία σύνδεσης του χρήστη, παρέχοντας στους επιτιθέμενους πλήρη πρόσβαση σε email, αρχεία και άλλα προσωπικά δεδομένα.
⚠️ Γιατί Είναι Τόσο Επικίνδυνη Αυτή η Απάτη
Η συγκεκριμένη επίθεση είναι ιδιαίτερα επικίνδυνη διότι:
-
Τα email φαίνονται να προέρχονται από επίσημες διευθύνσεις της Google και περνούν τους ελέγχους ασφαλείας.
-
Οι σελίδες phishing φιλοξενούνται σε υποτομείς της Google, καθιστώντας τις πιο πειστικές.
-
Οι επιτιθέμενοι χρησιμοποιούν τεχνικές κοινωνικής μηχανικής για να προκαλέσουν πανικό και να πείσουν τους χρήστες να ενεργήσουν άμεσα.
Ο Nick Johnson, πρώην μηχανικός της Google, ανέφερε ότι οι απατεώνες δημιουργούν πειστικές, ψεύτικες εφαρμογές και ιστοσελίδες, ενσωματώνοντας και malware ικανό να υποκλέψει κωδικούς πρόσβασης ή να δώσει απομακρυσμένο έλεγχο στη συσκευή του χρήστη.
️ Πώς να Προστατευθείτε
Η Google συνιστά τα εξής:
-
Μην κάνετε κλικ σε ύποπτους συνδέσμους: Ειδικά εάν αφορούν προσωπικά δεδομένα ή δήθεν αιτήματα της Google.
-
Ελέγχετε τη διεύθυνση αποστολέα: Ακόμη και αν φαίνεται επίσημη, πολλά ύποπτα email χρησιμοποιούν παραπλανητικές διευθύνσεις.
-
Μην κατεβάζετε συνημμένα αρχεία: Εάν δεν είστε βέβαιοι για την προέλευση.
-
Πληκτρολογείτε χειροκίνητα τη διεύθυνση: Αντί να ακολουθείτε συνδέσμους, πληκτρολογείτε χειροκίνητα τη διεύθυνση support.google.com.
-
Ενεργοποιήστε την επαλήθευση δύο βημάτων (2FA): Ή χρησιμοποιήστε passkeys για επιπλέον ασφάλεια.
Η Google ενθαρρύνει τους χρήστες να υιοθετήσουν passkeys αντί για συμβατικούς κωδικούς πρόσβασης. Τα passkeys βασίζονται σε κρυπτογραφικά κλειδιά που ενεργοποιούνται με βιομετρικά στοιχεία ή PIN και είναι πιο ασφαλή έναντι επιθέσεων phishing.
Τι Πρέπει να Κάνετε Αν Λάβετε Ύποπτο Email
Εάν λάβετε email που φαίνεται ύποπτο:
-
Μην κάνετε κλικ σε κανέναν σύνδεσμο ή συνημμένο.
-
Μην εισάγετε τα στοιχεία σύνδεσής σας.
-
Αναφέρετε το email ως phishing μέσω της επιλογής “Αναφορά phishing” στο Gmail.
-
Αλλάξτε αμέσως τον κωδικό πρόσβασής σας και ενεργοποιήστε την επαλήθευση δύο βημάτων.
Συμπέρασμα
Η νέα αυτή επίθεση phishing είναι εξαιρετικά πειστική και εκμεταλλεύεται την εμπιστοσύνη των χρηστών στις επίσημες επικοινωνίες της Google. Η επαγρύπνηση και η ενημέρωση είναι τα καλύτερα όπλα για την προστασία των προσωπικών σας δεδομένων.
