Přejít k hlavnímu obsahu

Průnik do Gmailu a možnosti obrany

redakce 02.06.2011
info ikonka
Zdroj:

Využívat služby široce známé a rozšířené přináší i bezpečnostní rizika.

Patrně čínská technologická rozvědka získala promyšleným phishingem hesla k Gmailu několika stovek lidí. (Čínská vláda jakoukoli odpovědnost ovšem rozhořčeně popírá.) Americkým anebo jihokorejským úředníkům, a také novinářům nebo čínským disidentům, poslali zprávu zdánlivě od někoho známého, která vypadala, že má přílohu. Jenže po kliknutí na domnělou přílohu se uživatel ocitl na phishingové stránce, zpodobněné tentokrát jako přihlášení k Gmailu (Googlu), a komu to nepřišlo divné, ten tam vepsal své údaje. Útočníci potom využili získaných hesel k tomu, že v postižených účtech nastavili přeposílání, anebo si přidali práva přístupu.

Google průnik oznámil včera, ale neprozradil, jak dlouho trval. Zacílený phishing se totiž odhaluje podstatně hůře nežli phishing rozesílaný hromadně.

Přesto Google tvrdí, že útok odhalily jeho systémy, ač přiznává, že podíl mělo i upozornění od postižených.

Google vybízí, aby uživatelé zvážili zvýšení bezpečnosti svého účtu nastavením „dvoustupňového ověřování“ — ověřování ještě kódem poslaným na mobil. Buďto do aplikace na smartphonu, anebo SMSkou. Zdá se, že toto ověřování lze nastavit i pro Českou republiku, jenže nelze přistoupit na stránku s nastavením, pokud máte jako jazyk účtu nastavenu češtinu! S výslovným nastavením angličtiny to lze.

Je to jako když se přihlašujete k bance… Samo ukradené heslo pak útočníkovi nepomůže, ale zas je přihlašování méně pohodlným pro vás, ač po zadání správného kódu se můžete nechat na daném počítači „zapamatovat“ až na třicet dní.

Naked Security upozorňuje, že heslo byste beztak měli vepsat jen tehdy, je‑li dotaz na ně přímým následkem toho, že jste adresu stránky sami vepsali do prohlížeče. Řekněme, že kliknutí na vámi vytvořenou záložku se dá rovněž započítat. Jakmile se však dotaz zdá podezřelý, prostě okno raději zavřete.

Google připomíná, že Gmail vás může sám na podezřelé dění na účtu upozornit červeným nápisem navrchu schránky.

Naked Security dodává, abyste věnovali pozornost také malému nápisu na spodu stránky (kam možná musíte odrolovat). Bývá tam napsáno například: Poslední aktivita účtu: Před x minutami (v tomto počítači); následuje odkaz na možné podrobnosti.

Všichni samozřejmě tvrdí, že na Gmailu, respektive u Googlu máte mít jedinečné a obtížně uhodnutelné heslo…

Lze se však zamyslit i nad tím, zda vůbec využívat Gmailu jako hlavní e‑mailové adresy, kterou všude rozhlásíte. Jestliže využíváte i dalších služeb Googlu, pak je vaše adresa zároveň vaším přihlašovacím jménem k nim — je polovinou páru jméno‑heslo. U významných oblačných služeb, ve kterých máte mít podle Googlu svá data, je přece bezpečnostním rizikem už jen veřejná známost přihlašovacího jména — pak se na ně lze zaměřit a hádat heslo… Nebo se na jmenovitý účet zaměřit skrze jakoukoli objevenou zranitelnost.

Tohle nedomyslil sám Google. U e‑mailových systémů sice tradičně patří k veřejně známé adrese už jen heslo, ale u konglomerátu cloudových služeb, jako je Google, se takový přístup přežil. Google by bezpečnost uživatelů rozhodně zvýšil i tím, kdyby přidal možnost přihlašovacího jména od adresy odlišného — a neveřejného.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme