Δώστε προσοχή. Γιατί έτσι διατηρείτε τον λογαριασμό email σας. Εάν δεν ακολουθήσετε αυτήν τη συμβουλή, μπορεί να χάσετε την πρόσβαση στον λογαριασμό σας και σε όλο το περιεχόμενό σας. Εάν χάσετε τον λογαριασμό σας Gmail, θα έχετε ένα περιορισμένο χρονικό περιθώριο για να τον ανακτήσετε. Δεν υπάρχουν όμως εγγυήσεις και η ζημιά που μπορεί να γίνει στο μεταξύ είναι τεράστια.
Η αντίδραση της Google είναι δικαιολογημένη. Η τελευταία επίθεση σε έναν χρήστη του Gmail, που έχει εξελιχθεί σε σημαντική απειλή, παρά το γεγονός ότι συμβαίνει σε μικρό αριθμό χρηστών αποσπά την προσοχή από την πολύ πιο σημαντική προειδοποίησή της. Ο κίνδυνος είναι η συμβουλή να πνιγεί από τον θόρυβο, καθώς αμέτρητα άρθρα εμβαθύνουν στο πώς στάλθηκε ένα ψεύτικο email με τέτοιο τρόπο που φαινόταν να προέρχεται από την ίδια την Google.
Η οπτική εκατομμυρίων χρηστών που ελέγχουν τα αυτόματα αποσταλμένα email της Google είναι επώδυνη. Πρώτα λοιπόν τα βασικά. Όχι, δεν πρόκειται να λάβετε μια πληθώρα ψεύτικων email από το no-reply@google.com ή οποιαδήποτε άλλη επαληθευμένη διεύθυνση email της Google. Τέτοιες επιθέσεις είναι στοχευμένες και πολύ σπάνιες. Γι’ αυτό δημιουργούν τόσους πολλούς τίτλους εξαρχής.
Θα λάβετε όμως μια πλημμύρα κακόβουλων email ηλεκτρονικού «ψαρέματος» (phishing), παρά τη διαβεβαίωση της Google ότι τα συστήματά της πλέον φιλτράρουν το 99% αυτών. Και πρέπει να αλλάξετε τις ρυθμίσεις του λογαριασμού σας για να βεβαιωθείτε ότι προσθέτετε έναν κωδικό πρόσβασης και ότι δεν βασίζεστε στον έλεγχο ταυτότητας δύο παραγόντων μέσω SMS. Αυτό καταργείται σταδιακά, αλλά θα πρέπει να κινηθείτε πιο γρήγορα και να το αλλάξετε σήμερα.
Το πιο σημαντικό είναι ότι αυτές οι εξελιγμένες επιθέσεις σε χρήστες του Gmail που προσποιούνται ότι προέρχονται από την Google βασίζονται όλες σε δύο ψευδείς προϋποθέσεις: ότι το προσωπικό υποστήριξης της Google μπορεί να επικοινωνήσει μαζί σας μέσω email, τηλεφώνου ή μηνύματος. Kαι αν ποτέ λάβετε ένα email ή μήνυμα σχετικά με ένα πρόβλημα λογαριασμού, ότι η Google μπορεί να «ζητήσει οποιαδήποτε από τα διαπιστευτήρια του λογαριασμού σας — συμπεριλαμβανομένου του κωδικού πρόσβασής σας, των κωδικών πρόσβασης μιας χρήσης ή επιβεβαίωσης ειδοποιήσεων push».Το ίδιο ισχύει και για την εταιρεία που στέλνει συνδέσμους σε σελίδες όπου εισάγετε τα διαπιστευτήριά σας — δεν θα το κάνει.
Την τελευταία φορά που υπήρξε αυτή η αναστάτωση για μια παρόμοια επίθεση, η Google μου ζήτησε να «επαναλάβω στους αναγνώστες σας ότι η Google δεν θα σας καλέσει για να επαναφέρετε τον κωδικό πρόσβασής σας ή να λύσετε προβλήματα λογαριασμού». Και επανεξέδωσε αυτήν την προειδοποίηση μετά από αυτήν την τελευταία επίθεση. Αλλά ο κίνδυνος είναι ότι αυτή η απλή συμβουλή πνίγεται από τις τεχνικές λεπτομέρειες των ελέγχων 0Auth και DKIM (DomainKeys Identified Mail) για τον έλεγχο ταυτότητας των αποστολέων, συμπεριλαμβανομένης της ίδιας της Google.
Τίποτα από αυτά δεν αφαιρεί τίποτα από την αμήχανη οπτική αυτής της τελευταίας επίθεσης ή τα εκτεθειμένα τρωτά σημεία της Google — αν και αυτά έχουν διορθωθεί όπως ακριβώς διορθώθηκαν άλλα τον Ιανουάριο, όταν ένα εξίσου εξελιγμένο hack έγινε πρωτοσέλιδο. Εκείνη την εποχή, η Google δήλωσε ότι «ενίσχυε τις άμυνές της» για να σταματήσει μια επανάληψη, όπως ακριβώς τώρα λέει στους χρήστες «έχουμε αναπτύξει προστασίες για να κλείσουμε αυτή τη δίοδο για κατάχρηση».
Προφανώς, καθώς μια πόρτα κλείνει, οι εισβολείς θα βρουν μια άλλη. Επομένως, είναι ακόμη πιο σημαντικό όλοι οι χρήστες του Gmail να επιστρέψουν στα βασικά. Ορίστε έναν κωδικό πρόσβασης και μια ισχυρότερη μορφή 2FA από τα SMS, δεδομένου ότι εξακολουθείτε να χρειάζεστε έναν κωδικό πρόσβασης ως εφεδρική πρόσβαση για τον λογαριασμό σας. Και να θυμάστε, οποιαδήποτε προληπτική επαφή υποστήριξης από την Google (ή τη Microsoft ή την Apple ή τη Samsung ή οποιαδήποτε άλλη μεγάλη τεχνολογική εταιρεία) είναι απάτη.Εάν έχετε οποιαδήποτε αμφιβολία, τερματίστε την κλήση ή αγνοήστε τα email και επικοινωνήστε με την εταιρεία χρησιμοποιώντας κανονικά, δημόσια διαθέσιμα κανάλια.
Και αυτή η συμβουλή δεν αφορά συγκεκριμένα τους λογαριασμούς σας Google και Gmail. Μια νέα αναφορά από την Volexity φέρνει την προειδοποίηση ότι «οι πρόσφατες επιθέσεις χρησιμοποιούν μια νέα τεχνική που στοχεύει στην κατάχρηση νόμιμων ροών ελέγχου ταυτότητας Microsoft OAuth 2.0».
Η εταιρεία ασφαλείας αναφέρει ότι παρακολουθεί τις επιθέσεις εδώ και μήνα και τις αποδίδει σε «πολλαπλές απειλές από τη Ρωσία που στοχεύουν άτομα και οργανισμούς με δεσμούς με την Ουκρανία και τα ανθρώπινα δικαιώματα». Οι χάκερ παρασύρουν τα θύματα παριστάνοντας αξιωματούχους από διάφορα ευρωπαϊκά έθνη» αντί για μεγάλα γραφεία τεχνικής υποστήριξης.
Σε αυτήν την περίπτωση, ένας εισβολέας «επικοινωνεί με το θύμα μέσω μιας εφαρμογής ανταλλαγής μηνυμάτων (Signal, WhatsApp) και το προσκαλεί να συμμετάσχει σε μια βιντεοκλήση για να συζητήσει τη σύγκρουση στην Ουκρανία. Μόλις το θύμα απαντήσει, ο εισβολέας στέλνει μια διεύθυνση URL ηλεκτρονικού «ψαρέματος» 0Auth που ισχυρίζεται ότι απαιτείται για να συμμετάσχει στην βιντεοκλήση. Το θύμα καλείται να επιστρέψει τον κωδικό OAuth που δημιουργήθηκε από τη Microsoft στον εισβολέα». Αυτό είναι το κόλπο αντιγραφής και επικόλλησης. «Εάν το θύμα μοιραστεί τον κωδικό OAuth, ο εισβολέας είναι στη συνέχεια σε θέση να δημιουργήσει ένα διακριτικό πρόσβασης που τελικά επιτρέπει την πρόσβαση στον λογαριασμό M365 του θύματος».
Αυτό είναι ένα δόλωμα ηλεκτρονικού «ψαρέματος» (phishing) του OAuth, που αξιοποιεί αξιόπιστες ροές σύνδεσης σε εφαρμογές και αποτελεί ένα ακόμη παράδειγμα του γιατί όχι μόνο χρειάζεστε πιστοποίηση συνδεδεμένη με υλικό, αλλά δεν πρέπει ποτέ να κοινοποιείτε κωδικούς ή URL προγραμμάτων περιήγησης σε παράθυρα διαλόγου που ανοίγουν μέσω συνδέσμων. Οι οδηγίες για αντιγραφή και επικόλληση κωδικών ή συμβολοσειρών κειμένου είναι επικίνδυνες, όπως ακριβώς και με τις επιθέσεις ClickFix. Αν δείτε ποτέ μια τέτοια οδηγία, είναι επίθεση. Είναι πραγματικά τόσο απλό.
Και με τον τέλειο συγχρονισμό, ο ειδικός σε θέματα email SlashNext μόλις προειδοποίησε για ένα άλλο «κιτ ηλεκτρονικού “ψαρέματος” που έχει σχεδιαστεί για να νικήσει το 2FA». Με την ονομασία SessionShark, η νέα επίθεση «είναι ένα κιτ ηλεκτρονικού “ψαρέματος” τύπου “antidiverse-in-the-middle” (AiTM) που μπορεί να κλέψει έγκυρα διακριτικά συνεδρίας χρήστη για να νικήσει τον έλεγχο ταυτότητας δύο παραγόντων σε λογαριασμούς Office 365».
Η ομάδα το εντόπισε αυτό μέσω μιας διαφήμισης, η οποία προωθεί το κιτ για δήθεν εκπαιδευτικούς σκοπούς. Εντάξει, σίγουρα. «Η διαφήμιση ισχυρίζεται ρητά ότι η υπηρεσία μπορεί να “υποκλέψει ευαίσθητα δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσης και των cookies συνεδρίας”, επιτρέποντας σε έναν εισβολέα να καταλάβει τις συνεδρίες που έχουν πιστοποιηθεί».
Ενώ αρχικά πρόκειται για επίθεση σε λογαριασμό Microsoft, οι προηγμένες τεχνικές και τα μέτρα απόκρυψης θα πρέπει να αποτελούν προειδοποίηση για τους χρήστες όλων των μεγάλων πλατφορμών σχετικά με τις νέες τακτικές που αναπτύσσουν οι εισβολείς και τι μπορεί να πλήξει σύντομα το τηλέφωνο ή τον υπολογιστή σας. Το SlashNext λέει: «Πέρα από τα μέτρα antibot, το SessionShark διαφημίζει την «αποφυγή ανίχνευσης από σημαντικές ροές πληροφοριών απειλών και συστήματα anti-phishing».
Οι προγραμματιστές έχουν προσθέσει προσαρμοσμένα σενάρια και κεφαλίδες HTTP για να ελαχιστοποιήσουν την ορατότητα στους σαρωτές ασφαλείας. Αυτό πιθανότατα σημαίνει ότι το κιτ μπορεί να μπλοκάρει γνωστά προγράμματα ανίχνευσης πληροφοριών απειλών, να χρησιμοποιεί κώδικα HTML/JS που αποφεύγει την ανίχνευση με βάση την υπογραφή ή να αλλάζει δυναμικά το περιεχόμενο. Τα χαρακτηριστικά αυτά υποδηλώνουν ότι το κιτ δοκιμάστηκε σε λύσεις ασφαλείας για να μειωθούν οι πιθανότητες να επισημανθεί, καταδεικνύοντας την αυξανόμενη πολυπλοκότητα των εργαλείων phishing για εγκληματικούς σκοπούς».
«Αυτή η διπρόσωπη στρατηγική μάρκετινγκ είναι συνηθισμένη στα υπόγεια φόρουμ – παρέχει ένα λεπτό κάλυμα άρνησης (για την αποφυγή απαγορεύσεων στα φόρουμ ή νομικών ζητημάτων), αλλά δεν ξεγελάει κανέναν σχετικά με τον πραγματικό σκοπό.
Φράσεις όπως «για εκπαιδευτικούς σκοπούς» ή «ηθική οπτική γωνία hacking» στο κείμενο της διαφήμισης είναι ένα κλείσιμο του ματιού προς τους αγοραστές ότι πρόκειται για ένα εργαλείο hacking, όχι για επίδειξη για εκπαιδευτικούς σκοπούς».
Είτε χρησιμοποιείτε λογαριασμό Google είτε Microsoft, ρυθμίστε κλειδιά πρόσβασης και μην εισάγετε ποτέ τα διαπιστευτήρια του κωδικού πρόσβασής σας σε μια ιστοσελίδα, εκτός εάν έχετε αποκτήσει πρόσβαση σε μια κύρια σελίδα σύνδεσης χρησιμοποιώντας τα συνήθη κανάλια. Όποιο και αν είναι το δόλωμα. Μην χρησιμοποιείτε SMS 2FA στον λογαριασμό σας, αλλά ρυθμίστε μια εφαρμογή ελέγχου ταυτότητας ως ελάχιστο. Και μην επικολλάτε ποτέ συμβολοσειρές κειμένου ή URL ή κωδικούς από μια εφαρμογή σε μια άλλη ή σε ένα παράθυρο διαλόγου σύνδεσης, εάν σας ζητηθεί. Δεν υπάρχει ποτέ λόγος να το κάνετε αυτό.
Αυτά τα απλά μέτρα και οι λογικές προφυλάξεις σημαίνουν ότι μπορείτε να διατηρήσετε τον λογαριασμό σας Gmail και τον λογαριασμό email σας Microsoft εκεί που πρέπει να είναι – μαζί σας.
