Uważaj na nowe SMS-y, w których ktoś idealnie podszywa się pod Google'a
Dostajesz SMS-a, w którym Google prosi cię o zalogowanie się w celu weryfikacji tożsamości. SMS pochodzi od "Google" i trafia do tego samego wątku, w którym otrzymywałeś kody weryfikacyjne do logowań. Niestety tym razem jest to bardzo sprytne oszustwo, przez które możesz stracić konto Google.
Sekurak podzielił się niezwykle ciekawą próbą przejęcia konta Google. Sposób jest tak dobrze przemyślany, że nawet zaawansowani użytkownicy mogą się na niego nabrać, a stąd już bardzo krótka droga do utraty całego konta Google.
Utrata dostępu do konta Google jest w dzisiejszych czasach nie mniej bolesna od utraty dostępu do konta bankowego. W Google mamy wszystko, od zapisanych danych płatniczych (jako Google Pay i jako mechanizm autouzupełniania danych kart płątniczych), aż po nasze loginy i hasła do różnorakich usług w internecie, w tym - w przypadku wielu osób - również do banków. Nie wspominam nawet o bazie naszych maili, historii wyszukiwania, naszej lokalizacji czy bazie zdjęć w Zdjęciach Google. Słowem, utrata dostępu do konta Google to katastrofa.
Ktoś podszywa się pod Google. SMS wygląda jak prawdziwy.
Nowa metoda oszustwa bazuje na SMS-ie, w którym w polu nadawcy widzimy nazwę Google. Taki zabieg od razu usypia czujność, ale oszust wykorzystał mechanizm SMS spoofingu, w którym po prostu podszywa się pod Google’a.
Co gorsza, taki SMS przechytrza smartfony, ponieważ jest automatycznie dodawany do wątku gromadzącego wszystkie SMS-y od Google’a. Mogą to być np. kody weryfikacyjne, których potrzebowaliśmy do logowania. Czujność jest więc podwójnie uśpiona, bo widzimy jako nadawcę Google, a do tego rozmowa trafia do prawdziwego wątku.
SMS wysłany w języku angielskim informuje odbiorcę o zawieszeniu konta z powodów bezpieczeństwa, przy czym konto można odblokować poprzez zaakceptowanie nowego regulaminu usług. Ponownie, jest to całkiem możliwy scenariusz, a podobnych próśb (choć nie od Google’a) dostajemy całkiem sporo.
Na końcu SMS-a znajduje się fałszywy link. Pod żadnym pozorem nie klikajcie w niego.
Link ma nas przekierować do nowego regulaminu. W linku pojawia się ciąg znaków zamiast adresu w domenie google.com, ale przecież w SMS-ach często dostajemy skrócone linki bazujące na ciągach znaków. Nie dziwię się, że ktoś mógłby nieświadomie kliknąć takie hiperłącze.
Dalej jest jeszcze gorzej. Otwarta strona ma na początku adresu https, a do tego przeglądarka wyświetla przy niej zieloną kłódkę. Ponownie czujność zostaje uśpiona. Na stronie widzimy panel logowania do konta Google, ale wszystko jest spreparowane przez oszustów. Jeśli wpiszemy login i hasło, oszust je pozna.
Jak bronić się przed takimi atakami? Koniecznie włącz uwierzytelnianie dwuetapowe.
Ktoś powie, że przed kliknięciem w link trzeba go wrzucić np. na virustotal.com i przejrzeć automatyczny raport bezpieczeństwa. Ja powiem, że przy tylu sprytnych zabiegach oszustów naprawdę mało kto będzie podejrzewał podstęp. Wystarczy przecież chwila nieuwagi.
Dlatego jednym z najlepszych sposobów na ochronę naszego konta Google jest włączenie weryfikacji dwuetapowej. Jeżeli mamy ją włączoną na koncie, oszust może przejąć login i hasło, a i tak nie zaloguje się na konto, bo będzie wymagany jeszcze jeden krok, czyli zatwierdzenie logowania na innym urządzeniu bądź przepisanie jednorazowego kodu wysłanego SMS-em. Musiałby przejąć też w takim wypadku kontrolę nad telefonem, co jednak nie jest niemożliwe.
Najbardziej skutecznym i bezpiecznym sposobem zabezpieczenia konta Google jest podpięcie pod niego fizycznego klucza U2F. Sprzęt taki można kupić już od nieco ponad 100 zł.