Google ostrzega. Koniecznie zmień hasło do Gmaila i włącz klucz dostępu

Wydawca poczty Gmail potwierdził, że w ciągu ostatniego roku wzrosła liczba ataków z wykorzystaniem technik, o których być może nie wszyscy jeszcze słyszeli. Według statystyk Google'a ataki phishingowe oraz kradzieże danych uwierzytelniających przyczyniły się do 37% zakończonych sukcesem włamań na konto. Firma dostrzegła też rosnącą popularność przechwytywania ciasteczek (plików cookie) i tokenów uwierzytelniających. Odnotowano, że w 2024 r. wykorzystanie infostealerów rozsyłanych e-mailem wzrosło o 84% względem poprzedniego roku, a w 2025 r. trend jedynie się wzmocnił.

Infostealer (dosłownie - złodziej informacji) to rodzaj złośliwego oprogramowania (malware) przygotowanego po to, aby wykradać dane. Bywa ono rozsyłane e-mailem poprzez załącznik albo link w wiadomości. Po wejściu na spreparowaną stronę internetową lub po otwarciu zainfekowanego dokumentu albo programu złośliwe oprogramowanie instaluje się na urządzeniu i kradnie twoje dane, w tym hasła z przeglądarki, pliki cookie, dane karty kredytowej etc. Oprogramowanie antywirusowe, takie jak Microsoft Defender dołączany do systemów Windows 10 i 11, teoretycznie powinno z automatu blokować to złośliwe oprogramowanie, zaś Gmail mógłby już na wstępie blokować podejrzane załączniki.

Widzimy jednak, że ataki z wykorzystaniem phishingu i infostealerów jedynie rosną, co oznacza, że dotychczasowe mechanizmy nie są tak skuteczne. Google nie podaje, jaki udział w incydentach mają poszczególne platformy. Możliwe, że coraz większy mają smartfony z Androidem, na których ludzie często nie instalują pakietu chroniącego. Android jest oparty na jądrze Linuksa, co w pewien sposób (dzięki bardziej sandboxowej architekturze) czyni go bardziej odpornym niż Windows, ale z drugiej strony wielu cyberprzestępców celuje w tę platformę właśnie z uwagi na spodziewany brak antywirusa, nieostrożność użytkowników oraz ich liczbę.

Aby odwrócić ten alarmujący trend, Google wzmacnia zabezpieczenia po swojej stronie, ale prosi też o działanie użytkowników. Szczególnie zalecana jest zmiana hasła i metody uwierzytelniania - jeśli do tej pory użytkownik tego nie zrobił. Co konkretnie trzeba zrobić?

Google już wcześniej ostrzegało użytkowników Gmaila, że większość z nich dla swojego bezpieczeństwa powinna zaktualizować ustawienia logowania i pozbyć się SMS-ów jako drugiego składnika w uwierzytelnianiu dwuskładnikowym (2FA). Kody SMS z uwagi na podatność tej metody na ataki nie są najbezpieczniejszym sposobem potwierdzenia logowania. Zamiast tego proponowane jest np. dodanie klucza dostępu (ang. passkey) i ustawienie go jako domyślnej metody logowania.

"Klucze dostępu to bezhasłowa [ang. passwordless] metoda logowania, która oferuje użytkownikom wygodne i bezpieczne doświadczenie uwierzytelniania na stronach internetowych i w aplikacjach. W przeciwieństwie do haseł, które można odgadnąć, wykraść albo zapomnieć, klucze dostępu są unikalnymi, cyfrowymi poświadczeniami powiązanymi z urządzeniem użytkownika" - wyjaśnia Google. Obsługa tej metody poza zwykłymi kontami Google jest już także ogólnodostępna dla ponad 11 milionów klientów Google Workspace.

Passkey jest metodą chroniącą przed phishingiem, bowiem nawet zmanipulowany użytkownik nie jest w stanie przekazać klucza dostępu komuś innemu. Ten unikalny klucz prywatny jest generowany na urządzeniu i odblokowywany po uwierzytelnieniu biometrycznym (rozpoznawanie twarzy lub linii papilarnych) albo wpisaniu kodu PIN. Nie opuszcza on urządzenia i praktycznie nie sposób go odgadnąć.

Jak zabezpieczyć konto Google? Jeśli nie masz klucza bezpieczeństwa i/lub nie możesz go utworzyć na swoim telefonie lub komputerze, zalecana jest zmiana hasła na silniejsze. Google potwierdza, że jedynie 36% użytkowników regularnie aktualizuje hasła. A warto to robić, bowiem jeśli gdzieś doszło do wycieku hasła lub jego kradzieży, to istnieje ryzyko, że ktoś go użyje nawet po wielu miesiącach. Z naszego poradnika dowiesz się, jak stworzyć hasło łatwe do zapamiętania i trudne do złamania.

Google wprowadziło jeszcze dodatkowe mechanizmy bezpieczeństwa po swojej stronie. To m.in. innowacyjna warstwa ochrony o nazwie Device Bound Session Credentials (DBSC). "Dostępne w przeglądarce Chrome na Windows, DBSC wzmacnia ochronę po tym, jak się zalogujesz, i pomaga powiązać pliki cookie sesji - małe pliki używane przez witryny, aby zapamiętywać informacje o użytkowniku - z urządzeniem, z którego uwierzytelnia się użytkownik" - wyjaśnia Google.

Ten mechanizm zapobiega kradzieży plików cookie (tzw. ciasteczek) i wzmacnia ochronę konta Google już po zalogowaniu. Dzięki powiązaniu (ang. binding) tych plików z urządzeniem system pozwala zachować pewność, że jedynie prawowite urządzenie ma dostęp do aktywnej sesji. A warto przypomnieć, że to właśnie kradzież plików cookie jest jednym z najpopularniejszych wektorów ataku.

Ponadto jeszcze w 2025 roku firma Google zamierza wprowadzić standard Shared Signals Framework (SSF) do Gmaila, który działa na zasadzie nadajnika i odbiornika, łącząc wiele różnych platform i aplikacji. Gdy nadajnik (np. konto Microsoft) wykryje potencjalne zagrożenie, wysyła informację do odbiornika (konta Google), który w odpowiedzi może szybko podjąć niezbędne kroki. Gmail będzie mógł np. poprosić użytkownika o ponowne uwierzytelnienie, tymczasowo zablokować mu konto lub automatycznie wylogować go ze wszystkich aktywnych sesji.