Η Google ερευνά ένα σοβαρό περιστατικό Gmail hack που αφήνει τους χρήστες κλειδωμένους εκτός των λογαριασμών τους χωρίς καμία διαθέσιμη επιλογή ανάκτησης. Με περισσότερους από 2 δισεκατομμύρια ενεργούς χρήστες, η υπηρεσία email βρίσκεται στο στόχαστρο επιτήδειων που αξιοποιούν αδυναμίες των συστημάτων ασφαλείας της.
Ο ειδικός κυβερνοασφάλειας Davey Winder, αναφέρει ότι αναγνώστριες επικοινώνησαν μαζί του επειδή δεν μπορούσαν με κανέναν τρόπο να ξαναμπούν στον λογαριασμό τους. Η Google απάντησε ότι «το εξετάζει» και πως θα εκδώσει συγκεκριμένες οδηγίες «στο άμεσο μέλλον».
Google – Gmail: Το κόλπο με τη μετατροπή λογαριασμού σε παιδικό προφίλ
Το πιο ανησυχητικό στοιχείο της επίθεσης είναι το εξής: οι hackers θέτουν το Gmail λογαριασμό του θύματος ως παιδικό προφίλ μέσα σε μια «οικογενειακή ομάδα» Google υπό τον δικό τους έλεγχο.
Για να το πετύχουν, αλλάζουν την ηλικία του λογαριασμού – σε ένα περιστατικό, ο επιτιθέμενος δήλωσε τον χρήστη ως 10 ετών. Μόλις ο λογαριασμός χαρακτηριστεί παιδικός, η Google τον θεωρεί προστατευόμενο προφίλ και μπλοκάρει κάθε δυνατότητα ανάκτησης, ακόμη κι αν το πραγματικό άτομο προσπαθεί να αποδείξει ότι είναι ο νόμιμος κάτοχος.
Ένας χρήστης στο subreddit του Gmail περιέγραψε ακριβώς αυτό το σενάριο: ο hacker όχι μόνο τον κλείδωσε εκτός, αλλά ζήτησε και κάρτες δώρων ως «λύτρα» για να τον απελευθερώσει. Άλλοι σχολίασαν ότι αυτή η μέθοδος γίνεται όλο και πιο συχνή και ότι η ανάκτηση λογαριασμού μετά από τέτοια κίνηση είναι ουσιαστικά αδύνατη.
Η Google απαντά
Εκπρόσωπος της Google αναγνώρισε ότι πρόκειται για «γνωστή ενέργεια post-compromise» και ότι η εταιρεία εργάζεται για λεπτομερείς οδηγίες. Αν και θεωρείται ακόμη σχετικά σπάνιο περιστατικό, η δημοσιότητα γύρω από αυτή την τεχνική ίσως οδηγήσει περισσότερους επιτιθέμενους να την εφαρμόσουν.
Μέχρι να δοθούν νεότερες οδηγίες, η Google τονίζει τα βασικά μέτρα για προστασία από account takeover:
• Ενεργοποίησε το two-step verification και χρησιμοποίησε passkeys
• Έλεγξε ότι συνδεδεμένες συσκευές και αριθμοί τηλεφώνου είναι μόνο οι δικοί σου.
• Ρύθμισε στοιχεία ανάκτησης, όπως email ή αριθμό τηλεφώνου, ή πρόσθεσε recovery contacts.
Ο Winder υπενθυμίζει ότι το κορυφαίο μέτρο είναι η πρόληψη:
«Ο καλύτερος τρόπος να μην κλειδωθείς έξω από τον Gmail λογαριασμό σου με αυτό τον τρόπο είναι να μην τον χάσεις εξαρχής».
Με λίγα λόγια, αν δεν έχεις ήδη ενεργοποιήσει Google passkey, κάν’ το τώρα.
