Google potwierdził, że hakerzy uzyskują dostęp do kont Gmail, a za znaczącą liczbę udanych włamań odpowiadają wykradzione hasła. W związku z serią ostatnich ataków, gigant technologiczny wydał ostrzeżenie: większość użytkowników Gmaila musi pilnie zmienić swoje hasła, aby zabezpieczyć swoje konta. Nowe zagrożenia, w tym te wykorzystujące sztuczną inteligencję, sprawiają, że tradycyjne zabezpieczenia są niewystarczające.
Zagrożenie dla kont Google rośnie — dlaczego musimy działać teraz?
Niedawny atak na bazę danych Google Salesforce naraził na ryzyko wszystkie 2,5 miliarda kont Gmail. Co więcej, oszuści podszywający się pod pracowników wsparcia Google celowo atakują użytkowników za pomocą e-maili i połączeń telefonicznych, wykorzystując do tego nawet sztuczną inteligencję. Tego typu ataki prowadzą do fałszywych stron logowania, które mają za zadanie ukraść hasło, a często także oszukać użytkownika, by podał lub pominął kod uwierzytelniania dwuskładnikowego (2FA). Według PC World, Google potwierdziło ataki phishingowe, które wykorzystują dane takie jak nazwy firm czy imiona klientów. Początkowe doniesienia o tych próbach ataków pojawiły się już na Reddicie, gdzie użytkownicy opisują, jak rzekomi pracownicy Google kontaktowali się z nimi telefonicznie, informując o naruszeniu bezpieczeństwa.
Statystyki są niepokojące – ataki phishingowe i kradzież danych uwierzytelniających odpowiadają za 37% udanych włamań. Jeszcze bardziej niebezpieczny jest trend dotyczący kradzieży plików cookie i tokenów, gdzie odnotowano wzrost o 84% w ubiegłym roku. Chociaż z bazy Salesforce nie wyciekły hasła, to użytkownicy Gmail i Google Cloud są teraz bardziej narażeni na ataki phishingowe. Oszuści wykorzystują pozyskane informacje o firmach do tworzenia precyzyjnie targetowanych ataków, podobnych do tych, które niedawno dotknęły Amazon i PayPal.
Co ciekawe, przestępcy coraz częściej wykorzystują narzędzia samego Google’a przeciwko jego użytkownikom. Oszuści używają sztucznej inteligencji do generowania fałszywych numerów obsługi klienta, co dotyczy zarówno Google AI Overview, jak i ChatGPT OpenAI. Technika prompt injection pozwala manipulować modelami AI tak, aby generowały nieprawdziwe informacje kontaktowe. Alex Rivlin, właściciel firmy nieruchomościowej, opisał swoje doświadczenie z wyrafinowanym oszustwem – mimo ostrożności i weryfikacji, wpadł w pułapkę po znalezieniu pozornie legalnego numeru Royal Caribbean w wynikach Google.
Google deklaruje, że posiada zabezpieczenia przeciwko tego typu oszustwom, ale przyznaje, że aktualizacje systemów mogą zająć czas, szczególnie w przypadku rzadziej wyszukiwanych zapytań. Dlatego tak ważne są bezpieczne i silne hasła, a także uwierzytelnianie dwuskładnikowe. Nawet jeśli hakerzy wejdą w posiadanie naszego hasła, dodatkowa metoda weryfikacji uniemożliwi im zalogowanie się na pocztę czy inne konto. Tu świetną opcją są klucze dostępu.
Czytaj też: Ukryte przyciski kradną twoje hasła. Nowy atak na menedżery haseł szokuje ekspertów
Logowanie za pomocą passkeys jest o 40% szybsze niż tradycyjne hasła i znacznie bardziej odporne na phishing. Działają one poprzez PIN lub biometrię i są unikalne dla każdej usługi, co eliminuje ryzyko ponownego wykorzystania. Google udostępnił już klucze dostępu dla ponad 11 milionów klientów Workspace, dodając rozszerzone możliwości administracyjne. Eksperci zgodnie wskazują na passkeys jako obecnie najbezpieczniejszą metodę uwierzytelniania.
W obliczu tych zagrożeń, warto natychmiast wzmocnić zabezpieczenia swojego konta. Specjaliści zalecają kilka prostych kroków:
- zmianę hasła, jeśli nie robiliśmy tego w ciągu ostatniego roku – te powinno być unikalne dla każdego konta, mieć co najmniej 12 znaków i zawierać kombinację wielkich i małych liter, cyfr oraz symboli;
- korzystanie z menedżera haseł (ale nie tego wbudowanego w przeglądarkę);
- przejście na aplikację uwierzytelniającą zamiast SMS-ów;
- dodanie kluczy dostępu jako domyślnej metody logowania;
- unikanie logowania przez linki w e-mailach.
Najbardziej narażeni są użytkownicy, którzy używają tych samych haseł na wielu platformach. Hakerzy po przejęciu jednego konta automatycznie testują te same dane na innych serwisach. Nasze lenistwo jest więc niczym pomocna dłoń wyciągnięta w kierunku cyberprzestępcy, a raczej większość użytkowników nie ma takich intencji. Dlatego właśnie warto sięgnąć po menedżera haseł, który wymyśli za nas odpowiednio skomplikowane ciągi znaków, zapamięta je i bezpiecznie przechowa. Jeśli więc nie zmieniałeś hasła do Gmaila w tym roku, zrób to teraz, bez odkładania takich rzeczy na później.
Czytaj też: Wiadomości Google ochronią przed wrażliwymi treściami. Komunikator zyskuje nową funkcję prywatności
W erze AI warto też pamiętać o bezpiecznym korzystaniu z wyszukiwarek
Wydaje mi się, że tak samo, jak do tej pory z hasłami, tak samo będziemy wałkować w nieskończoność temat bezpieczeństwa w obchodzeniu się z narzędziami AI i ogólnie z internetem, który staje się obecnie coraz bardziej wypełniony treściami generowanymi przez sztuczną inteligencję. W tym wypadku weryfikacja tego, co czytamy, jest kluczowa. Warto więc:
- unikać ślepego zaufania wynikom AI i zawsze sprawdzać informacje na oficjalnych stronach;
- używać tradycyjnych wyszukiwarek z dopiskiem “–AI” w zapytaniu Google;
- zwracać uwagę na formatowanie stron – oszuści często używają podejrzanych układów;
- weryfikować numery telefonów bezpośrednio na stronach firm.
Problem z AI polega na prezentowaniu pojedynczych, skondensowanych wyników, co zwiększa prawdopodobieństwo zaufania fałszywym informacjom. Oszuści skutecznie to wykorzystują, manipulując wynikami poprzez wspomniany wcześniej prompt injection. Lepiej poświęcić więcej czasu, niż potem bardzo mocno tego żałować. Na razie Google i OpenAI pracują nad rozwiązaniem problemu fałszywych numerów w wynikach AI, ale użytkownicy muszą zachować szczególną ostrożność. Jak pokazuje wspomniany wcześniej przykład Rivlina, nawet doświadczeni użytkownicy mogą paść ofiarą wyrafinowanych oszustw opartych na wynikach sztucznej inteligencji.
Czytaj też: Światło powalczy z deepfake’ami. Nowy pomysł na znak wodny
Nawet najnowocześniejsze rozwiązania nie pomogą, gdy będziemy beztroscy
Prawda jest taka, że nawet jeśli Google czy inni technologiczni giganci zwiększą zabezpieczenia i wdrożą nowe rozwiązania, nie będzie to gwarancją całkowitego bezpieczeństwa. To sami użytkownicy muszą o siebie zadbać, a pierwszym krokiem jest silne i bezpieczne hasło. Dalej powinniśmy stosować się do wspomnianych wcześniej punktów i przede wszystkim być świadomym tego, że w sieci jesteśmy stale narażeni na różnego rodzaju zagrożenia, więc ostrożność i weryfikacja powinna stać się naszą drugą naturą. Nawet jeśli mail, SMS czy dzwoniący do nas konsultant wydaje się wiarygodny, nigdy nie zaszkodzi sprawdzić dwa lub trzy razy.