Google je potvrdio da je došlo do sofisticiranog napada na podatke 1,8 milijardi korisnika Gmaila, što je potaknulo tehnološkog giganta da izda hitno upozorenje. Napad je prvi prijavio Nick Johnson, programer koji radi za platformu za kriptovalute Ethereum, piše Jutarnji list.
„Nedavno sam bio meta izuzetno sofisticiranog phishing napada“, napisao je Johnson u srijedu na mreži X. „Napad iskorištava ranjivost u Googleovoj infrastrukturi, a s obzirom na to da oni odbijaju riješiti problem, vjerojatno ćemo ga ubuduće viđati sve češće“, dodao je.
Podijelio je i screenshot e-maila koji je primio, a koji je izgledao kao da dolazi s legitimne Googleove adrese te je tvrdio da mu je uručena sudska naredba vezana za njegov Google račun, kojom bi morao omogućiti pristup računu.
„Jedini trag da se radi o phishingu je to što je poruka hostana na sites.google.com umjesto na accounts.google.com“, objasnio je Johnson.
I've submitted a bug report to Google about this; unfortunately they closed it as 'Working as Intended' and explained that they don't consider it a security bug. Obviously I disagree - but until they change their mind, be on the lookout for deceptive security alerts from Google. pic.twitter.com/AoyZOVssPs
— nick.eth (@nicksdjohnson) April 16, 2025
Klikom na lažni link iz e-maila otvorila mu se vrlo uvjerljiva ‘support portal‘ stranica. Nakon što je kliknuo na „Upload additional documents“ i „View case“, obje opcije su ga odvele na identične kopije stvarnih Google stranica.
Te stranice su od njega tražile da se prijavi na svoj Google račun. „Od tog trenutka, vjerojatno skupljaju vaše podatke za prijavu i koriste ih za kompromitaciju računa; nisam išao dalje da to provjerim“, rekao je. Dodao je da je zlonamjerni e-mail prošao DKIM provjeru potpisa, koja potvrđuje da e-mail nije mijenjan na putu do korisnika, te da ga je Gmail prikazao bez ikakvih upozorenja.
„Čak ga je prikazao unutar istog razgovora kao i druge, legitimne sigurnosne obavijesti“, naglasio je.
"Svjesni smo napada"
U izjavi za DailyMail.com, Googleov glasnogovornik rekao je:
„Svjesni smo ovog tipa ciljanih napada od strane tog aktera i implementirali smo zaštite kako bismo zatvorili ovaj način zlouporabe.“
„U međuvremenu potičemo korisnike da uključe dvofaktorsku autentifikaciju i koriste passkeys, koji pružaju snažnu zaštitu od ovakvih phishing kampanja.“
Tvrtka je dodala da je uklonila mehanizam koji je omogućavao ovu vrstu napada, te nedavno objavila upute kako prepoznati i izbjeći prijevare putem e-maila.
„Google vas nikada neće tražiti da dostavite podatke za pristup svom računu – uključujući lozinku, jednokratne kodove, potvrde putem push notifikacija, i slično – niti će vas zvati.“
Phishing napadi poput ovog imaju za cilj navesti korisnike da dijele svoje osobne podatke s hakerima, koji ih onda mogu iskoristiti za krađu identiteta ili novca.
Cilj je da poruka izgleda što legitimnije kako bi se korisnici prevarili da vjeruju da informacije daju pouzdanoj tvrtki. Zato su hakeri u ovom Gmail napadu koristili Google Sites, jer znaju da će ljudi vidjeti domenu google.com i pomisliti da je sve u redu, objasnio je Johnson.
Ako koristite lozinku za prijavu na Gmail i nenamjerno je podijelite s hakerima, oni mogu bez problema pristupiti vašem računu. Dovoljno je da upišu vašu lozinku i 2FA kod na svom uređaju.
No korištenjem passkeya i 2FA zaštite, probijanje računa postaje daleko teže.
Passkey je sigurnosni, nasumično generiran kod za prijavu koji se ne može lako pogoditi, ukrasti ili lažirati.
Funkcionira isključivo na fizičkom uređaju s kojim je povezan, što znači da ga hakeri ne mogu iskoristiti na svom računalu ili telefonu.
Uz prelazak na passkey, korisnici mogu naučiti prepoznavati znakove phishing napada kako bi dodatno zaštitili svoje online račune.
Kako prepoznati znakove phishinga?
Iako su ovakve prijevare sve teže za prepoznati, i dalje postoje karakteristični znakovi:
generički pozdrav, tvrdnja da postoji hitni problem koji zahtijeva vašu akciju te poziv da kliknete na neki link svakako su u prva tri.
Dok tvrtke poput Googlea doista komuniciraju putem e-maila, nikada vam neće slati link putem kojeg trebate ažurirati login ili podatke o plaćanju.
Budući da najnoviji phishing napad navodi korisnike da povjeruju da je riječ o zahtjevu neke vladine ili pravosudne institucije, važno je znati da će Google u takvim slučajevima, kako stoji na njihovim stranicama „Privatnost i uvjeti korištenja“, korisnika doista obavijestiti putem e-maila.
„Kad primimo zahtjev od državne institucije, šaljemo obavijest na korisnički račun prije nego što otkrijemo podatke. Ako računom upravlja neka organizacija, obavijest šaljemo administratoru računa.“
„Nećemo slati obavijest samo ako je to pravno zabranjeno. Obavijest ćemo poslati nakon što pravna zabrana istekne – primjerice, nakon isteka zakonskog ili sudskog roka tajnosti.“
Zato je ponekad vrlo teško razlikovati legitiman zahtjev od lažnog.
Google zato upozorava:
„Budite oprezni svaki put kada primite poruku s web-stranice koja od vas traži osobne podatke.
Ako dobijete ovakvu poruku, nemojte unositi podatke dok ne provjerite je li stranica legitimna.
Ako je moguće, otvorite stranicu u novom prozoru, umjesto da kliknete na link u e-mailu. Google vam nikada neće poslati neželjenu poruku u kojoj traži vašu lozinku ili osobne podatke.“
