Útok, ktorý prekvapil aj odborníkov
V roku 2025 bezpečnostní výskumníci zo spoločnosti Malwarebytes zverejnili alarmujúce zistenia.
Hackerská skupina, pravdepodobne napojená na Rusko, dokázala obísť viacfaktorové overenie (2FA) v službe Gmail – jednej z najpoužívanejších e-mailových platforiem na svete.
Cieľom útokov boli novinári, zamestnanci technologických firiem a ľudia s prístupom k citlivým informáciám.
Tento incident ukázal, že aj najlepšie zabezpečené účty môžu byť zraniteľné, ak sa útočníkom podarí oklamať samotného používateľa.
Ako útok fungoval
Hackeri využili kombináciu phishingu a real-time zachytávania relácií.
Obeť dostala e-mail, ktorý vyzeral ako oficiálne upozornenie od Googlu – napríklad „Vaše prihlásenie bolo zablokované, potvrďte identitu“.
Po kliknutí na odkaz sa otvorila falošná prihlasovacia stránka, ktorá vyzerala identicky ako originál.
Používateľ zadal svoje heslo aj 2FA kód z autentifikačnej aplikácie.
V tom momente útočníci zachytili celú reláciu prihlásenia – teda nielen údaje, ale aj aktívny prístupový token.
Relácia bola okamžite prenesená na server hackerov, ktorí sa prihlásili do účtu bez potreby ďalšieho overenia.
Získali tak plný prístup k Gmail účtu, čítali správy, menili heslá, aktivovali preposielanie e-mailov a dokonca posielali správy v mene obete.
Prečo 2FA v tomto prípade nestačilo
Dvojfázové overenie funguje správne len vtedy, ak prebieha v bezpečnom prostredí.
V tomto prípade bolo overenie zmanipulované ešte predtým, ako sa dokončilo.
Útočníci neprelomili technológiu Googlu – prelomili dôveru používateľa.
Keď obeť zadala svoje údaje na podvodnej stránke, sama im poskytla všetko potrebné.
Ako Google reagoval
Spoločnosť Google potvrdila existenciu útokov, no zdôraznila, že išlo o veľmi cielené incidenty.
Odporučila používateľom prejsť na silnejšie formy overenia, najmä na bezpečnostné kľúče (Titan Key, YubiKey) alebo passkeys.
Tieto fyzické zariadenia nedovoľujú overenie na falošnej stránke, pretože sú viazané na konkrétnu webovú adresu a kryptografický podpis.
Čo si z toho vziať
Tento útok ukázal, že aj 2FA má svoje hranice, ak používateľ neoverí, kde zadáva svoje údaje.
Najčastejšou chybou zostáva kliknutie na podvodný odkaz, ktorý sa tvári ako legitímna stránka.
Ak sa chceš chrániť, pamätaj:
- Nikdy nezadávaj prihlasovacie údaje po kliknutí z e-mailu alebo SMS.
- Overuj adresu stránky – oficiálne stránky Googlu vždy začínajú https://accounts.google.com.
- Používaj autentifikačné aplikácie alebo hardvérové kľúče, nie SMS.
- V nastaveniach Google účtu si zapni upozornenia na nové prihlásenia.
„Aj ten najsilnejší zámok nepomôže, ak necháš dvere otvorené.“
Bezpečnosť začína pri tebe – nie v systéme.
