Google selhal! Geniální phishing útok obchází všechny bezpečnostní bariéry Gmailu Hlavní stránka Zprávičky Na Gmaily přichází podivné zprávy od Googlu, jedná se ale o phishingový útok Je mimořádně pečlivě zpracovaný. Ukážeme vám, jak funguje Osvěta nikdy není na škodu, a proto vám ve zkratce poradíme, jak se s falešným mailem vypořádat Sdílejte: Pavlína Čížková Publikováno: 18.4.2025 20:00 Žádné komentáře 0 Technické firmy je vyhodí dveřmi, a phishingoví útočníci se vrátí oknem. Je to prozatím nekonečný cyklus souboje kreativity z obou stran, a tentokrát má vrchní ruku strana útočníků. Nejnovější vlna útoků nahání husí kůži i zkušenějším uživatelům, jako je například hlavní vývojář společnosti ENS, Nick Jonshon, který právě přes sociální síť X upozornil na podvodný e-mail. Ten se zkraje tvářil jako legitimní žádost od Googlu a přitom prošel všemi Gmail kontrolami bez jediné výstrahy. E-mail přišel z adresy no-reply@accounts.google.com, byl skutečně „podepsaný“ doménou Google, a ani Gmail neukázal žádné varování. Uvnitř zprávy pak bylo tlačítko směřující na stránku sites.google.com – službu Googlu, která umožňuje běžným uživatelům vytvářet vlastní weby. Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6— nick.eth (@nicksdjohnson) April 16, 2025 Právě toho útočníci využili a postavili na ní falešnou stránku „Google podpory“, která následně odkazovala na přihlašovací formulář imitující stránku Googlu. Výsledek? Data uživatelů, kteří se nechali napálit, jsou nyní v rukou útočníka. Jak to, že takový útok Gmailem prošel? Útočníci zaregistrovali vlastní doménu a k ní vytvořili Google účet, přes který nastavili aplikaci s využitím OAuth. Jako název aplikace použili celý podvodný e-mail. Poté si tento účet sám sobě poslal zabezpečovací notifikaci, která byla podepsána Googlem – a tu následně přeposlali obětem. Jinými slovy: technicky vše prošlo validací, protože Google OAuth notifikace je vždy považována za důvěryhodnou. Dobrou zprávou je, že v tomto případě Google údajně přislíbil opravu problému, který umožnil uskutečnění celé této phishingové operace. Co si z toho vzít? Tenhle phishing je poněkud věrohodný – může se tvářit jako pravá bezpečnostní notifikace od Googlu, včetně designu, adresy i podepsání zprávy. Nejde o klasický e-mail s podivnou gramatikou nebo podezřelou adresou. Pokud dostanete e-mail, který vás upozorňuje na nějaký bezpečnostní problém (například že se někdo pokusil přihlásit k vašemu účtu), buďte velmi obezřetní, než na něco kliknete. V případě, že chcete svůj účet pro jistotu zkontrolovat, neklikejte na tlačítka přímo v e-mailu. Místo toho otevřete prohlížeč, jděte přímo na stránku spravující účty Google a přihlaste se sami. Jen tak máte jistotu, že komunikujete se skutečným Googlem, a ne s jeho podvodnou kopií. Setkali jste se někdy s phishingem? Zdroj: X, AndroidAuthority O autorovi Pavlína Čížková Pája nemálo kdy slýchá, že vypadá, jako by do přítomnosti přišla z cyberpunkového budoucna. Nejen svou prezentací, ale i svými zájmy dává veřejnosti každý den… Více o autorovi Sdílejte: Žádné komentáře Vložit komentář e-mail Gmail Google phishing podvod Mohlo by vás zajímat Android Auto dostává první letošní aktualizaci. Co je nového? Adam Kurfürst 10.1. Google Quick Share přináší pro všechny skvělou funkci, kterou už Samsung umí dávno Libor Foltýnek 8.1. Nový trik šmejdů: Češi přicházejí o peníze kvůli jedinému kliknutí v SMS Jana Skálová 5.12.2024
