1. SPIDER'S WEB
  2. Technologie
  3. Bezpieczeństwo

Uważaj na nowe SMS-y, w których ktoś idealnie podszywa się pod Google'a

Dostajesz SMS-a, w którym Google prosi cię o zalogowanie się w celu weryfikacji tożsamości. SMS pochodzi od "Google" i trafia do tego samego wątku, w którym otrzymywałeś kody weryfikacyjne do logowań. Niestety tym razem jest to bardzo sprytne oszustwo, przez które możesz stracić konto Google.

google wiadomości sms-y znikają

Sekurak podzielił się niezwykle ciekawą próbą przejęcia konta Google. Sposób jest tak dobrze przemyślany, że nawet zaawansowani użytkownicy mogą się na niego nabrać, a stąd już bardzo krótka droga do utraty całego konta Google.

Utrata dostępu do konta Google jest w dzisiejszych czasach nie mniej bolesna od utraty dostępu do konta bankowego. W Google mamy wszystko, od zapisanych danych płatniczych (jako Google Pay i jako mechanizm autouzupełniania danych kart płątniczych), aż po nasze loginy i hasła do różnorakich usług w internecie, w tym - w przypadku wielu osób - również do banków. Nie wspominam nawet o bazie naszych maili, historii wyszukiwania, naszej lokalizacji czy bazie zdjęć w Zdjęciach Google. Słowem, utrata dostępu do konta Google to katastrofa.

Ktoś podszywa się pod Google. SMS wygląda jak prawdziwy.

Nowa metoda oszustwa bazuje na SMS-ie, w którym w polu nadawcy widzimy nazwę Google. Taki zabieg od razu usypia czujność, ale oszust wykorzystał mechanizm SMS spoofingu, w którym po prostu podszywa się pod Google’a.

Fałszywy SMS. Źródło obrazka: https://sekurak.pl/wlasciciele-kont-google-gmail-uwaga-na-smsy-perfekcyjnie-podszywajace-sie-pod-google/

Co gorsza, taki SMS przechytrza smartfony, ponieważ jest automatycznie dodawany do wątku gromadzącego wszystkie SMS-y od Google’a. Mogą to być np. kody weryfikacyjne, których potrzebowaliśmy do logowania. Czujność jest więc podwójnie uśpiona, bo widzimy jako nadawcę Google, a do tego rozmowa trafia do prawdziwego wątku.

SMS wysłany w języku angielskim informuje odbiorcę o zawieszeniu konta z powodów bezpieczeństwa, przy czym konto można odblokować poprzez zaakceptowanie nowego regulaminu usług. Ponownie, jest to całkiem możliwy scenariusz, a podobnych próśb (choć nie od Google’a) dostajemy całkiem sporo.

Na końcu SMS-a znajduje się fałszywy link. Pod żadnym pozorem nie klikajcie w niego.

Link ma nas przekierować do nowego regulaminu. W linku pojawia się ciąg znaków zamiast adresu w domenie google.com, ale przecież w SMS-ach często dostajemy skrócone linki bazujące na ciągach znaków. Nie dziwię się, że ktoś mógłby nieświadomie kliknąć takie hiperłącze.

Dalej jest jeszcze gorzej. Otwarta strona ma na początku adresu https, a do tego przeglądarka wyświetla przy niej zieloną kłódkę. Ponownie czujność zostaje uśpiona. Na stronie widzimy panel logowania do konta Google, ale wszystko jest spreparowane przez oszustów. Jeśli wpiszemy login i hasło, oszust je pozna.

Jak bronić się przed takimi atakami? Koniecznie włącz uwierzytelnianie dwuetapowe.

Ktoś powie, że przed kliknięciem w link trzeba go wrzucić np. na virustotal.com i przejrzeć automatyczny raport bezpieczeństwa. Ja powiem, że przy tylu sprytnych zabiegach oszustów naprawdę mało kto będzie podejrzewał podstęp. Wystarczy przecież chwila nieuwagi.

Dlatego jednym z najlepszych sposobów na ochronę naszego konta Google jest włączenie weryfikacji dwuetapowej. Jeżeli mamy ją włączoną na koncie, oszust może przejąć login i hasło, a i tak nie zaloguje się na konto, bo będzie wymagany jeszcze jeden krok, czyli zatwierdzenie logowania na innym urządzeniu bądź przepisanie jednorazowego kodu wysłanego SMS-em. Musiałby przejąć też w takim wypadku kontrolę nad telefonem, co jednak nie jest niemożliwe.

Najbardziej skutecznym i bezpiecznym sposobem zabezpieczenia konta Google jest podpięcie pod niego fizycznego klucza U2F. Sprzęt taki można kupić już od nieco ponad 100 zł.