V roku 2025 bezpečnostní výskumníci odhalili rozsiahlu hackerskú kampaň, pri ktorej sa útočníkom podarilo obísť dvojfázové overenie (2FA) v e-mailovej službe Gmail. Incident sa dostal na verejnosť po tom, čo spoločnosť Malwarebytes zverejnila analýzu útokov zameraných na používateľov s aktívnym viacfaktorovým overením.
Útočníci pochádzali pravdepodobne z Ruska a išlo o sofistikovanú operáciu zameranú na krádež prístupov k firemným a novinárskym účtom. Cieľom bolo získať citlivé informácie, interné dokumenty a súkromnú komunikáciu.
Ako hackeri obišli 2FA
Pri klasickom phishingovom útoku sa útočníci snažia získať heslo. Tentoraz však išli oveľa ďalej – využili techniky, ktoré im umožnili zachytiť autentifikačné tokeny po úspešnom prihlásení používateľa.
Keď sa obeť prihlásila cez podvodný odkaz, hackeri dokázali „odchytávať“ jej reláciu v reálnom čase a preniesť ju na svoj vlastný server.
Inými slovami, používateľ zadal heslo aj kód z 2FA aplikácie, ale útočník získal celú prihlásenú reláciu – teda prístup bez potreby nového overenia.
Týmto spôsobom sa dostali priamo do Gmail účtov, čítali e-maily a odosielali správy v mene používateľa.
Čo na to Google
Spoločnosť Google útok potvrdila a zdôraznila, že išlo o veľmi cielené incidenty, nie o plošný problém. Podľa ich vyjadrenia sú účty s 2FA stále výrazne bezpečnejšie než účty bez nej.
Google však zároveň priznal, že tradičné metódy 2FA (napr. SMS alebo kód z aplikácie) majú svoje limity a odporučil prejsť na bezpečnostné kľúče (napr. Titan Key), ktoré takéto útoky dokážu zastaviť.
Ako sa chrániť pred podobným útokom
Tento prípad ukazuje, že ani 2FA nie je všemocné, ak používateľ klikne na falošnú stránku alebo povolí prístup podvodnej aplikácii. Ochranu výrazne zlepšíš, ak:
- nepoužívaš odkazy z e-mailov a vždy zadávaš adresu služby ručne
- zapneš hardvérové bezpečnostné kľúče namiesto SMS alebo kódov
- pravidelne kontroluješ prihlásenia a prepojené zariadenia v Google účte
- nainštaluješ si aktualizovaný antivírus alebo antiphishingový doplnok
Prípad Gmail z roku 2025 je dôkazom, že útočníci neustále hľadajú nové cesty, ako prekonať aj najmodernejšie bezpečnostné opatrenia. Dvojfázové overenie je stále jeden z najlepších spôsobov ochrany, no musí sa používať spolu s obozretnosťou a zdravým rozumom.
„Najlepšia ochrana nie je v aplikácii, ale v pozornosti používateľa.“
Bez ohľadu na technológiu, najväčšou slabinou býva ten, kto sedí za obrazovkou.
Návod Ako si nastaviť dvojfázové overenie v internetovom bankovníctve
