Для того чтобы быть хакером, необходимо не только виртуозно находить уязвимости в чужом коде, но и хорошо разбираться в психологии. Именно это качество демонстрируют создатели нового способа взлома учётных записей Google.

Инструкцию по противодействию вы найдёте в конце статьи.

Атака начинается с того, что вам на почту приходит письмо с вложением. Оно может быть оформлено как пресс-релиз, предложение о сотрудничестве или просто анонс важной информации. Важно, что оно обязательно содержит во вложении файл, расположенный в Google Drive, — какой-нибудь безобидный текстовый документ, таблицу или PDF.

Google phishing 1

Вы знаете, что файлы, расположенные в Google Drive, можно совершенно безопасно открывать — Google гарантирует их безопасность.

Хакеры именно на это и рассчитывают. Вместо реального файла они размещают во вложении картинку, имитирующую таблицу или другой электронный документ. После клика по ней пользователь попадает на фейковую страницу авторизации Google.

Google phishing 2

Эта страница ничем не отличается от настоящей, за исключением адреса. Но многие ли из нас в ежедневной кутерьме обращают внимание на подобные мелочи?

Дальше пользователь вводит свои логин и пароль, которые тут же становятся известными злоумышленнику. Взлом состоялся.

Чтобы не стать очередной жертвой, достаточно соблюдать два простых правила.

  1. Любые вложения электронной почты могут быть опасными. Даже те, которые ещё недавно считались полностью безвредными.
  2. При вводе пароля обязательно обращайте внимание на адрес страницы авторизации. Он должен начинаться с https://.
  3. Используйте двухфакторную авторизацию.

Будьте внимательны, и поменьше спешки. Именно из-за неё чаще всего совершаются глупости.