Hlavní navigace

Vlna hacknutých účtů na Gmailu se dotkla i Česka

Daniel Dočekal

Hacknuté gmailové účty v neděli ve velkém rozesílaly na všechny strany spam. Útočníci přitom účet jednoduše otevřeli heslem uživatele. Jak se proti tomu bránit?

Mail od někoho, koho znáte, jenom s odkazem a předmětem „Hi“ (například). Odkaz vede na stránku nabízející prostředky na hubnutí a je rozeslaný desítkám i stovkám lidí, které má dotyčný v adresáři. Nebo, lépe řečeno, které se daly vytěžit z účtu na Gmailu.

Jak se můžete dočíst na blogu jedné z obětí, bylo to prosté. Útočník vstoupil na účet pomocí hesla, které dotyčná osoba měla silné, ale na druhou stranu, podle všeho používané na jiných službách (v jejím případě například na nedávno hacknutém UPLAY). V jejím blogpostu uvidíte i to, že zjevně jde o automatizovanou činnost a zdaleka ne hned úspěšnou – první pokus z IP adresy v Mexiku nevyšel, druhý z Thajska už ano.

Útočník neváhá změnit u hacknutého účtu heslo, takže je nutné podstoupit získání nového hesla – a pokud budete mít štěstí, tak se vám ho podaří dostat pomocí obnovy přes SMS a mobilní telefon. Pokud ne, můžete mít problém. 

Pokud se vám podaří změnit heslo, je samozřejmě ještě potřeba zkontrolovat, zda útočník nedal práva k užívání nějaké aplikaci, nenastavil si forward nebo jinak nezměnil některé vlastnosti účtu.

Spam z hacknutých účtu na Gmailu - cílový web

Spam z hacknutých účtu na Gmailu – cílový web

Samozřejmě, pokud chcete mít účet ještě více zabezpečený, chce to dvoufázové ověření – tedy nutnost získat kód zaslaný SMS při přihlášení. Jde o způsob velmi užitečný nejenom pro Gmail, ale třeba i pro Facebook. Funguje tak, že při prvním přihlášení z doposud nevyužívaného počítače je nutné zadat SMS kód – ten Google pošle na váš mobilní telefon. A vy můžete zařízení, ze kterého se přihlašujete, označit jako bezpečné a SMS kód už u tohoto zařízení nepoužívat.

Mimo dvoufázového ověření je ještě možné použít Google Authenticator – tedy aplikaci pro mobilní telefon (Android, Blackberry, iPhone), která vám umožní totéž, ale bez posílání SMS. Navíc ji můžete použít pro dvoufázové ověření v dalších službách, které ji podporují (například Dropbox, což vůbec není k zahození).

Spammeři vás z webu nebudou chtít pustit

Spammeři vás z webu nebudou chtít pustit

Co se hesel týče, klasicky platí, že musíte používat silná hesla a že musí být unikátní, tj. není možné používat jedno heslo pro více služeb. Osobně bych dodal, že hlavně ne pro služby, na kterých záleží. Problém řady unikátních silných hesel ale zpravidla umožní řešit věci jako Lastpass, Roboform, eWallet, KeePass či další – vytvoří vám pro každé přihlášení unikátní silné heslo a zároveň si je pamatuje ve vlastním „trezoru“. Nemusíte si je tak pamatovat.

Nezapomeňte, že hacknutý mailový účet může být opravdu velký problém – zpravidla na něj totiž máte navázané i další služby, které potom útočník může snadno „hacknout“. Prostě si nechá poslat nové heslo (například pro Facebook) a nemusí se ani moc snažit. Navíc, ne vždy to musí být tak neškodné, jako tento případ, kdy útočníkům šlo hlavně o rozeslání spamu. 

Našli jste v článku chybu?
22. 7. 2013 11:29

Třebas proto, že je naprosto nereálné, aby si pamatoval jeden člověk tolik silných unikátních hesel, kolik má na internetu účtů. Ta hesla lze uložit nikoliv do stránky, ale schránky, obvykle chráněné master heslem. Na jeho bezpečnosti a schování dat schránky to celé leží a padá. Trochu problém vidím v tom, že tohle se dá používat jenom na zcela bezpečných zařízeních, kde si navíc můžu instalovat svůj software.

23. 7. 2013 11:57
sten (neregistrovaný)

Muj ucet byl prolomen taky :( ...... Nedele .. cca 10:30. "Rozesilal jsem" spam cele odpoledne na vsechny kontakty z kontakt listu. A ze toho nebylo malo.