Найти в Дзене
IT без лобби
4 подписчика

Многофакторная авторизация совсем не панацея от современного взлома

3 мин
В этом плане я согласен с главой минцифры Шадаевым, который упоминал, что СМС - это катастрофа для портала "Госуслуг". Однако сегодня мы не о Российских технологиях, а о международных, а именно про Google. Опасность взлома аккаунтов пользователей на данном сервисе сложно переоценить. Получив доступ к Gmail, злоумышленник автоматически получает и доступ к облачному хранилищу Google Drive, а также, в ряде и в большинстве случаев, — к истории перемещений жертвы, её смартфону (если он на Android и привязан к данному аккаунту), мессенджерам и, как следствие, ко всем логинам, паролям и авторизациям. Это делает последствия взлома аккаунта Google сравнимыми с взломом Apple ID у пользователей iPhone. Однако есть и ключевое отличие не в пользу Google: в случае успешной атаки борьба с её последствиями зачастую сложнее, чем в экосистеме Apple. Это по-прежнему крайне сложная задача. На чёрном рынке стоимость доступа к Gmail-аккаунтам начинается от $1000 и выше. Google использует качественные систем
Оглавление

В этом плане я согласен с главой минцифры Шадаевым, который упоминал, что СМС - это катастрофа для портала "Госуслуг". Однако сегодня мы не о Российских технологиях, а о международных, а именно про Google. Опасность взлома аккаунтов пользователей на данном сервисе сложно переоценить. Получив доступ к Gmail, злоумышленник автоматически получает и доступ к облачному хранилищу Google Drive, а также, в ряде и в большинстве случаев, — к истории перемещений жертвы, её смартфону (если он на Android и привязан к данному аккаунту), мессенджерам и, как следствие, ко всем логинам, паролям и авторизациям. Это делает последствия взлома аккаунта Google сравнимыми с взломом Apple ID у пользователей iPhone.

Однако есть и ключевое отличие не в пользу Google: в случае успешной атаки борьба с её последствиями зачастую сложнее, чем в экосистеме Apple.

Насколько реален взлом Gmail в 2025 году?

Это по-прежнему крайне сложная задача. На чёрном рынке стоимость доступа к Gmail-аккаунтам начинается от $1000 и выше. Google использует качественные системы раннего обнаружения фишинга, что делает массовые атаки почти невозможными. Поэтому такие взломы, как правило, являются целевыми — то есть направлены конкретно на вас, а не случайны.

Основные методы атак на Google-аккаунты в 2025 году:

1. Фишинг - до 90% всех атак.

2. Кража cookie (сессий) - около 9% случаев.

3. Вредоносное ПО (malware) — менее 1%, особенно редки на не-Windows системах.

Malware — это дорого, трудоёмко и требует обхода антивирусов, что делает его маловероятным вариантом без серьёзной мотивации и бюджета.

Фишинг через Google Calendar

Один из зарекомендовавших себя в последние пару лет векторов атаки - инвайт-фишинг через Google Calendar. Злоумышленник отправляет приглашение на мероприятие с фишинговой ссылкой - даже если вы не подтвердили встречу, она появляется в календаре (если не отключена соответствующая настройка). Пользователь кликает по ссылке, думая, что это рабочее мероприятие или счёт, попадает на поддельную страницу входа в Google — и вводит свои данные или (что чаще особенно при высокопрофессиональной атаке) разрешает некоему календарю Google доступ к различным функциям аккаунта Google.

Как работают системы защиты Google

Однако не стоит совсем уж пессимизировать. У Google выстроена достаточно не плохая оборона своих пользователей, и вот только малая часть методов защиты:

  • Фильтрация по IP и геолокации отправителя.
  • Проверка наличия защищённых сертификатов у сервера отправителя.
  • Предиктивный анализ текста письма и контекста.
  • Сканирование вложений на вредоносный код.
  • Проверка ссылок в теле письма.
  • Антиспам и антиспуфинг технологии.
  • Сопоставление отправителя с предыдущими переписками.

Типичный сценарий фишинговой атаки

Хакер получает (или покупает) адреса ваших знакомых. Предпочтение отдается частным почтовым ящикам, не принадлежащим организациям.
Используя подделку email-адреса, он рассылает фишинговые письма: "Счёт к оплате", "Штраф", "Просмотр документа" и т.п. Либо более профессиональный вариант - ссылка на мероприятие со знакомыми в календаре.
Жертва переходит по ссылке и вводит свои данные, включая MFA.
Злоумышленник получает доступ — от частичного до полного.
Устанавливается скрипт для удаления уведомлений от Google о подозрительной активности или используется флуд-атака (10 000+ писем), чтобы скрыть уведомление в потоке спама.

-2

Что происходит дальше?

Хакеры высокого уровня полностью автоматизируют процесс: моментально скачивается архив всех писем и файлов из хранилища, активируется IMAP/POP-доступ. Иногда даже задействуется GCP-автоматизация для скрытого и долгосрочного контроля. В некоторых случаях такие злоумышленники наблюдают за аккаунтом годами.

-3

Среднего уровня злоумышленники часто работают вручную, но активно используют те же IMAP/POP, а также методы перехвата почты через установку фильтров и авто-перенаправлений — что позволяет перехватывать переписку без заметных следов.

Особо продвинутые атакующие могут использовать даже Google Sheets с внедрёнными макросами или GCP-скрипты, чтобы не просто следить, но и управлять взаимодействием аккаунта с другими сервисами.

-4

Основные риски для пользователя:

  • Установка фильтров и пересылок в Gmail.
  • Использование GCP-скриптов для невидимого контроля.
  • Интеграции через API, которые позволяют сохранять доступ к аккаунту даже после смены пароля.
  • Автоматизация резервного копирования данных в облако злоумышленника.
-5

Немногие пользователи проверяют консоль GCP или список макросов в Google Sheets. Это делает эти методы особенно опасными и устойчивыми к обнаружению.