Kompanija Google izdala je hitno upozorenje nakon što je potvrđeno da je izveden sofisticirani phishing napad na više od 1,8 milijardi Gmail korisnika diljem svijeta. Napad je prvi otkrio Nick Johnson, programer iz Ethereum zajednice, koji je postao meta lažnog e-maila nalik službenim porukama iz Googlea.
Kako izgleda napad? Napadači se predstavljaju kao Google
Johnson je na društvenoj mreži X (bivši Twitter) objavio da je primio e-mail koji se naizgled činio legitimnim. U poruci je stajalo da je protiv njega izdana sudska naredba u vezi njegovog Google računa. E-mail je izgledao kao da dolazi s adrese Googlea, a sadržavao je link na tzv. “support portal”.
Klikom na link otvorila se vjerna kopija Googleove stranice, koja je korisnika navodila da unese podatke za prijavu. U slučaju da ih korisnik unese, napadači preuzimaju pristup računu, čime dolazi do krađe identiteta, financijskih podataka ili potpunog preuzimanja e-mail komunikacije.
Zloupotreba Google Sites servisa
Kao posebno opasnu točku, Johnson navodi da je e-mail prošao DKIM provjeru (Digital Signature), što znači da nije bio izmijenjen tijekom prijenosa, te da ga je Gmail prikazao bez upozorenja – čak unutar istog razgovora kao i prijašnje sigurnosne obavijesti.
Napad iskorištava ranjivost u Googleovom servisu sites.google.com, što je dodatno pridonijelo vjerodostojnosti.
Google reagirao: “Napad je blokiran, ali budite oprezni”
U izjavi za DailyMail, Google je potvrdio da su svjesni pokušaja napada i da su poduzete mjere za zatvaranje ranjivosti. Ipak, upozorili su korisnike da uključe dvofaktorsku autentifikaciju (2FA) i, gdje je moguće, koriste passkey – sigurnosni kod za prijavu koji je vezan uz fizički uređaj.
“Google vas nikada neće tražiti da dostavite lozinku, jednokratni kod ili potvrdu putem e-maila ili poziva”, navode iz kompanije.
Što je phishing i kako ga prepoznati?
Phishing napadi pokušavaju navesti korisnike da dobrovoljno predaju svoje osobne podatke, uključujući lozinke, brojeve kartica i sigurnosne kodove. Iako su ovakve prijevare sve sofisticiranije, postoje jasni znakovi upozorenja:
- ✅ Generički pozdrav (npr. “Poštovani korisniče”)
- ✅ Poruka stvara osjećaj hitnosti ili prijetnje
- ✅ Poziv na klik na link za “potvrdu” podataka
- ✅ Adresa e-pošte i domena nisu u potpunosti pouzdane (npr.
sites.google.comumjestoaccounts.google.com) - ✅ Pravopisne i gramatičke greške
Kako se zaštititi?
Zaštita Google računa podrazumijeva nekoliko koraka koje preporučuju sigurnosni stručnjaci:
- 🔐 Aktivirajte dvofaktorsku autentifikaciju (2FA)
- 🔑 Koristite passkey – kod koji se ne može presresti ni kopirati
- ❌ Nikada ne klikajte sumnjive linkove iz e-maila
- 🌐 Ako morate posjetiti određenu stranicu, otvorite je ručno u novoj kartici, umjesto klika na link
- 📩 Google neće tražiti lozinku putem e-maila – ako dobijete takvu poruku, odmah je prijavite
Iako su Google i druge velike tehnološke tvrtke sve bolje u detekciji sumnjivih aktivnosti, sve više sofisticirani phishing napadi predstavljaju ozbiljnu prijetnju korisnicima diljem svijeta. Napad koji je zahvatio Gmail korisnike služi kao podsjetnik da je krajnja linija obrane – edukacija i pažnja korisnika.
