Uwaga na fałszywe wiadomości dotyczące podejrzanej aktywności na Gmailu

W ostatnim czasie mieliśmy do czynienia z wieloma atakami na użytkowników różnych usług. Sezon wakacyjny obfituje w wiadomości email z fałszywymi fakturami, lub prośbami o zresetowanie hasła konta bankowego. To jednak nie koniec, bo ofiarą podobnego ataku mogą stać się użytkownicy Gmaila. Co ciekawe, w tym przypadku atakujący wysyłają spreparowaną wiadomość na skrzynki tego typu chcąc… przejąć kontrolę nad całym kontem Google. Wiadomości takie, pomimo systemów filtrujących i wydawać by się mogło dobrej ochrony, docierają do użytkowników.

Atakujący postanowili w tym przypadku wykorzystać mechanizm Google dotyczący podejrzanej aktywności. Skrzynka Gmail pozwala na wyświetlanie informacji o ostatnich logowaniach, a także innych aktywnych w chwili obecnej sesjach. Jeżeli zostanie wykryta jakaś podejrzana, niepasująca do codziennego zachowania aktywność, użytkownik zostanie o tym powiadomiony, aby mógł sprawdzić, czy to on logował się na takie konto. Często możemy do takiej sytuacji doprowadzić samodzielnie: wystarczy zmiana przeglądarki (lub ciągu useragent), a także skorzystanie z zagranicznego proxy np. z Chin, Rosji lub Stanów Zjednoczonych, aby system uznał to za podejrzane logowanie. Nic w tym dziwnego, bo Google zbiera informacje skąd się logujemy i z jakich narzędzi korzystamy.

Fałszywy email jest opisany w sposób, który ma zmylić użytkownika: no-reply@accounts.gmail.com. To prawidłowy adres z Google, niemniej tutaj stanowi tylko opis, a nie faktycznego nadawcę (bo ten nie jest podawany, wiadomość jest wysyłana z fikcyjnego lokalnego hosta). W samej wiadomości możemy zobaczyć logo Google, wiadomość w języku angielskim bardzo zbliżoną do oficjalnych wiadomości od korporacji, a także linki i przycisk pozwalający na sprawdzenie konta. Uwagę zwraca przywitanie, które zawiera nasz email i ma sugerować, że wiadomość jest skierowana do konkretnej osoby, tak naprawdę skrypt wysyłający po prostu podstawia go używając adresata. Same linki zawarte w wiadomości także budzą zaufanie, bo kierują na serwery Google i dysk internetowy tego producenta. Szkodliwe treści w nim zawarte i mające na celu wykradnięcie naszego hasła zostały już usunięte.

Dziwi, że tego typu wiadomości były w stanie przejść przez automatyczne systemy ochronne Gmaila, bo przecież atak opierał się na podszywaniu pod samo Google. Poczta tego producenta posiada mocny mechanizm antywirusowy i na ogół skuteczny filtr antyspamowy. Z atakiem na własnych użytkowników nie była sobie jednak w stanie poradzić. Zachęcamy do bardzo ostrożnego klikania w jakiekolwiek linki zawarte w tego typu wiadomościach, bo mogą się one okazać fałszywe. Dobrym rozwiązaniem jest także włączenie weryfikacji dwuetapowej. Przejście przez nią będzie wymagane w przypadku dokonywania zmian w ustawieniach konta, a więc jej brak po kliknięciu tego typu odnośników powinien stać się dla nas dodatkowym sygnałem alarmowym.

Na szczęście mamy i drugą, nieco lepszą wiadomość. Gmail w ostatnim czasie został wyposażony w funkcję szybszego wypisywania się z list mailingowych i zamawianych reklam. Obok wiadomości tego typu pochodzących z rozpoznawanych przez system nadawców wyświetlany jest link, który pozwala na szybkie wypisanie. Do tej pory funkcja taka była dostępna tylko po skorzystaniu z opcji dodawania wiadomości do spamu – Google sugerowało, że wiadomość jest poprawna i że może nas automatycznie wypisać z danej subskrypcji. Teraz opcja stała się dużo bardziej widoczna, dodatkowo wykrywa zawarte w wiadomościach linki tego typu i ujednolica miejsce, w którym się znajdują.