Η Google απευθύνει επείγουσα προειδοποίηση στους 2,5 δισεκατομμύρια χρήστες του Gmail, καλώντας τους να ανανεώσουν άμεσα τον κωδικό πρόσβασής τους. Ο λόγος; Η θεαματική αύξηση στις επιτυχημένες απόπειρες παραβίασης λογαριασμών, με τους κυβερνοεγκληματίες να αξιοποιούν εξελιγμένες μεθόδους ηλεκτρονικού ψαρέματος και κλοπής διαπιστευτηρίων.
Σύμφωνα με τα στοιχεία που έδωσε στη δημοσιότητα η εταιρεία, σχεδόν τέσσερις στις δέκα παραβιάσεις λογαριασμών οφείλονται σε κλεμμένους ή παραβιασμένους κωδικούς. Το πρόβλημα γίνεται ακόμη πιο σοβαρό αν αναλογιστεί κανείς ότι το 64% των χρηστών δεν μπαίνει καν στον κόπο να αλλάξει κωδικό σε τακτική βάση. Με δεδομένο τον τεράστιο όγκο λογαριασμών και την αμέλεια εκατομμυρίων χρηστών, οι χάκερ βρίσκουν πρόσφορο έδαφος για επιθέσεις.
Από τα απλοϊκά scams στις εξελιγμένες παγίδες
Οι επιθέσεις δεν θυμίζουν πια τα κλασικά μηνύματα «Νιγηριανών πριγκίπων» που γεμίζουν τον φάκελο των ανεπιθύμητων. Οι δράστες έχουν πλέον αναβαθμίσει τις μεθόδους τους. Εμφανίζονται ως εκπρόσωποι της Google, είτε μέσω email είτε ακόμη και με τηλεφωνικές κλήσεις, προτρέποντας τα ανυποψίαστα θύματα να ακολουθήσουν ψεύτικους συνδέσμους σύνδεσης ή να αποκαλύψουν τους κωδικούς ταυτοποίησης δύο παραγόντων (2FA). Το αποτέλεσμα είναι πως πολλοί χρήστες παραδίδουν μόνοι τους τα στοιχεία τους, νομίζοντας ότι μιλούν με επίσημη υποστήριξη.
Από τη στιγμή που οι χάκερ αποκτήσουν πρόσβαση, μπορούν να παρακάμψουν ακόμη και τα πιο βασικά μέτρα ασφαλείας, «κλειδώνοντας» τον πραγματικό ιδιοκτήτη εκτός του λογαριασμού του. Και όλα αυτά μπορούν να συμβούν μέσα σε λίγα λεπτά, χωρίς καν ο χρήστης να συνειδητοποιήσει το λάθος του.
Η απάντηση της Google: Ανανέωση κωδικών και στροφή στα passkeys
Η Google προτρέπει τους χρήστες να ξεκινήσουν από τα βασικά: αλλαγή κωδικού εδώ και τώρα, και στη συνέχεια τακτική ανανέωση. Όμως δεν σταματά εκεί. Η εταιρεία πιέζει για την υιοθέτηση μιας πιο σύγχρονης λύσης, τα passkeys. Πρόκειται για κωδικούς πρόσβασης που δεν βασίζονται σε λέξεις ή αριθμούς, αλλά σε βιομετρικά στοιχεία, όπως το δακτυλικό αποτύπωμα, το face unlock ή έναν προσωπικό PIN στη συσκευή.
Η διαφορά είναι σημαντική: τα passkeys είναι εξαιρετικά δύσκολο να υποκλαπούν, καθώς δεν μπορούν να αποκαλυφθούν με ένα παραπλανητικό email. Παρ’ όλα αυτά, η χρήση τους παραμένει χαμηλή. Η Google τονίζει πως αν ο χρήστης δει προτροπή για εισαγωγή παραδοσιακού κωδικού αντί για passkey σε συσκευή που το υποστηρίζει, αυτό θα πρέπει να θεωρηθεί καμπανάκι κινδύνου.
Περισσότερη ασφάλεια με εφαρμογές ταυτοποίησης
Πέρα από τα passkeys, η Google ενθαρρύνει τους χρήστες να αφήσουν πίσω τους τα SMS για την πιστοποίηση δύο παραγόντων. Οι κωδικοί που αποστέλλονται μέσω μηνυμάτων μπορούν να υποκλαπούν, είτε με τεχνικά μέσα είτε μέσω κοινωνικής μηχανικής. Αντίθετα, οι εφαρμογές ταυτοποίησης δημιουργούν μοναδικούς κωδικούς μιας χρήσης, οι οποίοι δεν μπορούν να κλαπούν εξ αποστάσεως. Έτσι, ο λογαριασμός αποκτά ένα επιπλέον επίπεδο προστασίας.
Το χειρότερο λάθος: η αδράνεια
Το κεντρικό μήνυμα της Google είναι ξεκάθαρο: μην περιμένετε μέχρι να δεχθείτε κάποιο «ειδοποιητήριο» για να δράσετε. Η ασφάλεια ενός λογαριασμού Gmail δεν πρέπει να εξαρτάται από το αν θα φτάσει ποτέ προειδοποιητικό email στο inbox. Αν χρησιμοποιείτε τον ίδιο κωδικό εδώ και χρόνια ή, ακόμη χειρότερα, αν έχετε επαναχρησιμοποιήσει τον ίδιο σε πολλαπλές πλατφόρμες, τότε ήδη έχετε εκτεθεί σε τεράστιο κίνδυνο.
Η αλλαγή κωδικού, η ενεργοποίηση passkey και η χρήση μιας εφαρμογής ταυτοποίησης αποτελούν τις ελάχιστες κινήσεις που πρέπει να κάνει κάθε χρήστης. Οι χάκερ ποντάρουν στην αμέλεια και τη συνήθεια. Όσο οι άνθρωποι παραμένουν εφησυχασμένοι, τόσο εκείνοι βρίσκουν νέους τρόπους να εισβάλλουν σε προσωπικά δεδομένα.
[via]
