هشدار امنیتی گوگل به ۳ میلیارد کاربر جیمیل: جایگزینی رمز عبور با پس‌کلید برای مقابله با حملات فیشینگ

گوگل به‌تازگی هشدار مهمی برای بیش از ۳ میلیارد کاربر جیمیل صادر کرده و از آن‌ها خواسته است برای افزایش امنیت حساب‌های خود، به‌جای استفاده از رمز عبور و احراز هویت دو مرحله‌ای مبتنی بر پیامک، از پس‌کلیدها (Passkeys) استفاده کنند. این هشدار پس از افشای جزئیات مربوط به حملات پیشرفته فیشینگ توسط گزارش Volexity منتشر شده که نشان می‌دهد مهاجمان سایبری با استفاده از تکنیک‌های پیچیده، حتی موفق به دور زدن احراز هویت دومرحله‌ای (2FA) شده‌اند. جزئیات حملات اخیر ایمیل‌های جعلی با امضای معتبر: مهاجمان از طریق آدرس‌هایی نظیر no-reply@google.com ایمیل‌هایی ارسال می‌کنند که با گذر از سیستم امنیتی DKIM، در صندوق ورودی کاربران بدون هشدار ظاهر می‌شوند. صفحه فیشینگ مشابه گوگل: این ایمیل‌ها کاربران را به صفحاتی هدایت می‌کنند که به‌ظاهر شبیه صفحه ورود Google هستند، اما در واقع بر روی دامنه‌هایی مانند sites.google.com میزبانی شده‌اند، نه accounts.google.com. استفاده از OAuth جعلی: مهاجمان با ساخت اپلیکیشن‌های جعلی مبتنی بر OAuth، اقدام به سرقت توکن‌های دسترسی به حساب‌های کاربری می‌کنند. توصیه‌های فوری گوگل برای محافظت از حساب جیمیل فعالسازی پس‌کلید (Passkey): با اتصال به دستگاه یا بیومتریک (اثر انگشت یا تشخیص چهره)، این روش در برابر فیشینگ بسیار مقاوم‌تر از رمز عبور است. حذف احراز هویت از طریق SMS: کدهای ارسالی با پیامک به‌راحتی قابل رهگیری هستند. گوگل استفاده از Google Authenticator یا سایر اپ‌های احراز هویت را پیشنهاد می‌دهد. عدم اشتراک‌گذاری کدها و لینک‌ها: هرگز کدهای OAuth یا لینک‌های دریافتی از منابع ناشناس را کپی یا باز نکنید. حملات مشابه به مایکروسافت مهاجمان روسی با جعل تماس‌های ویدیویی (با موضوعاتی همچون جنگ اوکراین)، کاربران Microsoft 365 را نیز هدف قرار داده‌اند. ابزار فیشینگ SessionShark می‌تواند توکن‌های احراز هویت را سرقت کرده و حتی از سد احراز هویت دومرحله‌ای عبور کند. راهکارهای نهایی برای حفظ امنیت حساب به‌روزرسانی اطلاعات بازیابی: شماره تلفن و ایمیل بازیابی خود را به‌روز نگه دارید تا در صورت نفوذ، امکان بازیابی حساب طی ۷ روز فراهم باشد. پرهیز از پاسخگویی به تماس‌های مشکوک: گوگل و مایکروسافت هرگز از طریق تماس یا پیام، اطلاعات حساب یا کدهای امنیتی را درخواست نمی‌کنند. فعال‌سازی احراز هویت بدون رمز عبور: به دلیل پیشرفت حملات فیشینگ با استفاده از هوش مصنوعی، استفاده از روش‌های ایمن‌تر مانند Passkey توصیه می‌شود.