Az elmúlt napokban újabb biztonsági figyelmeztetés rázta meg a világ legnagyobb levelezőszolgáltatóját: a Gmail felhasználók adatai ismét célkeresztbe kerültek. A támadás különösen veszélyes, mivel a kiberbűnözők nemcsak e-mailben, hanem telefonon is próbálják rávenni az embereket arra, hogy kiadják a fiókjaikhoz szükséges hozzáférési kódokat.

A támadásról először a Gmail felhasználói számoltak be különböző online fórumokon. A séma lényege, hogy a csalók Google-ügyfélszolgálatként mutatkoznak be, és telefonon értesítik a felhasználót arról, hogy valaki éppen a fiókját próbálja feltörni. Az állítólagos biztonsági szakember ezután javasolja, hogy a problémát jelszó-visszaállítással lehet megoldani.

Ezzel egy időben érkezik egy hivatalosnak tűnő e-mail, amiben szerepel egy ellenőrző kód. A csaló a telefonbeszélgetés közben arra kéri az áldozatot, hogy ezt a kódot olvassa be neki, mondván, ezzel lehet megakadályozni a feltörést. Valójában azonban ekkor történik meg a fiók tényleges átvétele: a támadó valós időben szerzi meg az irányítást a Gmail-fiók felett. A módszer egyszerű, de rendkívül hatékony, hiszen a felhasználó abban a hitben él, hogy a Google hivatalos munkatársával beszél, miközben a csalók az így nyert bizalmat kihasználva szerzik meg az adatokat. A Gmail világszerte mintegy 2,5 milliárd embert szolgál ki, ami a világ lakosságának közel egyharmada. Egyetlen postafiók rengeteg személyes információt tartalmaz: banki adatok, munkahelyi dokumentumok, családi fényképek, és minden más olyan adat, aminek a felhasználásával kárt tehetnek a hackerek.

A Google is elismerte, hogy a közelmúltban többféle támadás érte a rendszereit. A ShinyHunters nevű zsarolóhálózat betört a Google Salesforce adatbázisába, miközben a Google Cloud felhasználói is figyelmeztetést kaptak az úgynevezett „dangling bucket” (egy „elhagyott” vagy hibásan beállított felhőtárhely) sebezhetőségekre, amiket adatlopásra és rosszindulatú programok terjesztésére is kihasználtak.

A cég közleménye szerint tavaly 84 százalékkal nőtt az e-mailen keresztül érkező jelszólopási kísérletek száma, és 2025-ben a helyzet tovább romlott. Egy Google szóvivő hangsúlyozta: a vállalat soha nem hívja fel telefonon a felhasználókat jelszó-visszaállítás miatt. Ha valaki ilyet tapasztal, biztos lehet abban, hogy csalóval beszél.

Ezt teheted a fiókod védelméért

A szakértők szerint több azonnali lépést is érdemes megtenni:

  • Google Security Checkup: ez az automatikus ellenőrző rendszer átvizsgálja a fiók biztonsági beállításait, és jelzi, ha valahol gyenge pontot talál.
  • Advanced Protection Program: a Google fejlettebb védelmi programja extra biztonsági szűrőket aktivál, például korlátozza a külső alkalmazások hozzáférését és szigorítja a helyreállítási folyamatot.
  • Azonosítókulcs (passkey) használata: a Google kutatásai szerint a fizikai biztonsági kulcsok hatékonyabban védenek az automatizált botok, a tömeges adathalász támadások és a célzott feltörések ellen, mint a hagyományos SMS-ben vagy applikáción keresztül küldött kódok. Segítségükkel csak ujjlenyomattal, arcazonosítóval vagy képernyőzár feloldásával lehet bejelentkezni.

A legfontosabb szabály azonban változatlan: soha ne adj ki telefonon vagy e-mailben kapott ellenőrző kódot senkinek. A csalók legfőbb fegyvere a bizalom, ezért minden ilyen helyzetben gyanakodni kell - írja a Femina.