1,8 milliárd Gmail-felhasználó jelszava veszélybe került: úgy lophatják el, hogy észre sem veszed

Komoly kiberbiztonsági kockázatra figyelmeztetnek a szakértők: új módszerrel támadják a Gmail-felhasználókat, és még a Google saját mesterséges intelligenciáját is kihasználják hozzá. A támadás annyira alattomos, hogy sokan észre sem veszik, amikor már túl késő.

Csaló e-mailek miatt jelszólopás történhet a Gmail-on

A The Sun beszámolója szerint a hackerek a Google Gemini nevű, beépített AI-eszközét használják fel arra, hogy a felhasználókat megtévesszék. Az úgynevezett "indirekt prompt injection" módszer során az elkövetők olyan e-maileket küldenek, amelyek látszólag ártalmatlanok, valójában azonban rejtett utasításokat tartalmaznak, amiket a Gemini értelmez – nem a címzett.

Ezek az utasítások gyakran nulla betűmérettel és fehér színnel vannak elrejtve a levél szövegébe ágyazva, így a felhasználó nem látja őket, viszont az AI igen. Ha valaki például a "Summarize this email" (azaz „foglalja össze ezt az e-mailt”) opciót választja, a Gemini nem az e-mail valódi tartalmát, hanem a rejtett, megtévesztő parancsokat értelmezi. Így történhet meg az, hogy az AI azt állítja: a felhasználó jelszava kiszivárgott, és azonnali kapcsolatfelvételt javasol egy „Google ügyfélszolgálatként” feltüntetett, valójában hamis telefonszámmal.

A támadási módszert elsőként a Mozilla 0Din biztonsági csapata azonosította. A kutatók bemutatták, hogyan lehet a Gemini-t rávenni arra, hogy hamis biztonsági riasztást generáljon, ami így valós veszély helyett maga válik a fenyegetéssé. A cél, hogy a felhasználók önként adják meg belépési adataikat vagy kattintsanak olyan linkekre, amik kártékony weboldalakra vezetnek.

A GenAI programot kezelő biztonsági menedzser, Marco Figueroa szerint ezek a támadások az AI egyik alapvető gyengeségét használják ki: a rendszer nem tud különbséget tenni a valódi felhasználói kérés és a levélbe rejtett, előre megírt utasítás között – mindkettőt szövegként értelmezi. A támadások hatékonysága épp ebben rejlik.

A módszer különösen veszélyes, mert a Gmail-felhasználók közel kétmilliárdos tábora számára nyitott kiskapuról van szó. A Gemini AI ugyanis nemcsak az e-mailekben működik, hanem a Google Dokumentumokban, a Naptárban és más alkalmazásokban is jelen van – így a lehetséges támadási felületek száma is sokkal nagyobb.

Bár a Google felhívta a figyelmet arra, hogy a Gemini nem ad ki hivatalos biztonsági riasztásokat, és az ilyen típusú figyelmeztetéseket érdemes azonnal gyanúsnak tekinteni, a technikai rés nyitva maradt – vagyis az érintettek egyelőre magukra vannak utalva.

A szakértők több megelőző intézkedést is javasolnak:

• Célszerű olyan e-mailklienst használni, ami képes felismerni és semlegesíteni az e-mailekben rejtett, láthatatlan tartalmakat.
• Emellett hasznos lehet postafiók-szintű szűrőket beállítani, amik automatikusan kiszűrik az „azonnali figyelmet igénylő” üzeneteket, ismeretlen linkeket vagy telefonszámokat tartalmazó leveleket.

Amíg a Google nem nyújt valódi védelmet az AI-alapú visszaélésekkel szemben, a legfontosabb védekezési eszköz továbbra is a tudatosság. Ha egy e-mail sürget, ijesztget, vagy megkér arra, hogy hívd fel a Google-t – különösen, ha ezt a Gemini összegzése „ajánlja” –, az első dolgod legyen: töröld azt.

(Képek forrása: Getty Images Hungary.)

• gmail
• hackertámadás
• gemini
• jelszó
• átverés
• csalás
• Terasz