Az elmúlt hetekben több hírportál – köztük a The Sun – is beszámolt arról, hogy egy újfajta, rendkívül veszélyes adathalász trükk jelent meg a Gmail rendszerein belül, amivel 1,8 milliárd Gmail-es jelszó került veszélybe. A csalók a Google Gemini beépített AI-eszközét használják ki, hogy megtévesszék azokat, akik a kényelmi funkciók révén az AI-ra bízzák leveleik összegzését.
Utánajártam a hírnek, mert nekem elég szenzációhajhásznak tűnt az egész, és bizony igazam is lett, a ChatGPT mélykutatása alaposan körbejárta a témát, itt a lényeg: A jelenség létezik, de eddig nincs bizonyíték arra, hogy ezt a sebezhetőséget élesben, széles körben kihasználták volna. A Google is megerősítette, hogy ez főként egy elméleti, kutatói szintű demonstráció volt.
Hogyan működik a támadás?
A módszert az úgynevezett indirekt prompt injection technikával valósítják meg:
- az elkövetők olyan e-maileket küldenek, melyekben láthatatlan parancsok (pl. 0-ás betűmérettel és fehér színnel írt szöveg) bujkálnak,
- amikor a felhasználó rákattint az „Foglald össze ezt az e-mailt” opcióra, a Gemini nem a valós levelet foglalja össze, hanem az elrejtett utasításokat,
- így történt például, hogy a Gemini azt állította, hogy a Google ügyfélszolgálata küldött egy levelet arról, hogy feltörték a fiókot, és javasolta, hogy a megadott (hamis) adatokon keresse fel az ügyfélszolgálatot, ahol végül elkérték az adataikat.
- A cél, hogy a felhasználók valamilyen online felületen adják meg belépési adataikat vagy kattintsanak olyan linkekre, amik kártékony weboldalakra vezetnek.
A Google tud a problémáról, és már dolgoznak a megoldáson. Úgy gondolom, mindenkinek érdemes azért elgondolkodnia azon, ráengedi-e a mesterséges intelligenciát az email fiókjára, és ha igen, milyen utasításokat ad neki, és kritika és ellenőrzés nélkül elfogadja-e azt, amit az AI mond…
Mit tehetsz, hogy biztonságban maradjon a Gmail fiókod?
1. Használj kétlépcsős azonosítást (2FA)
Így akkor sem tudnak belépni a fiókodba, ha valahogy megszerezték a jelszavadat.
2. Válts passkey-re, ha tudsz
A Google már támogatja az új, biztonságosabb bejelentkezési módokat. Ez ellen a legtöbb adathalász módszer hatástalan.
3. Ellenőrizd a feladó e-mail címét és a linkeket
A Google soha nem kér közvetlen jelszómegerősítést emailben. Ha link van benne, vidd fölé az egeret, és nézd meg, hová vezet! Ugyanígy a konkrét email címet is ellenőrizd.
4. Ne reagálj impulzívan
Ha valami gyanúsan sürgető vagy „túl technikai” egy e-mailben, inkább várj pár percet és nézz utána. Lehet, hogy pont ezzel mented meg a fiókodat. Természetes, hogy azonnal lever a víz, ha meglátod, hogy a fiókod veszélybe kerül, és ilyenkor hajlamosak vagyunk gyorsan cselekedni. De pont ez a céljuk, hogy gyorsan, kapkodva cselekedj, és ne gondold át a helyzetet.
5. Jelentsd az adathalász leveleket a Gmailen belül
Ez nemcsak téged véd, hanem másokat is. Jelöld az ilyen gyanús leveleket spamnek.
6. Gondold meg, kinek adsz hozzáférést az e-mailjeidhez
Ma már a Google Gemini, a ChatGPT és a Claude és Perplexity is képes arra, hogy elolvassa az e-mailjeidet, rendszerezze őket, sőt akár válaszoljon is helyetted. Beállíthatod őket úgy, hogy segítsenek a napi levelezésben – de ne feledd: ehhez teljes hozzáférést adsz a fiókodhoz.
Személyes tippem: én a legérzékenyebb, főként céges levelezéseimet továbbra sem engedem be ezekbe a rendszerekbe. Nem érzem még elég kiforrottnak a védelmi protokollokat ahhoz, hogy rábízzam ezeket az információkat egy alap szintű AI-fiókra – hiába lenne kényelmes.
🛡️ Fontos! Természetesen már léteznek vállalati szintű AI-integrációs csomagok, amelyek biztonságosabb keretrendszert kínálnak – de ezeket céges környezetre kell szabni.
👉 Ha szeretnéd az AI-t biztonságosan bevezetni a cégedbe, írj nekünk e-mailt, és segítünk a megfelelő vállalati megoldás kialakításában.
📩 hello@justbeedigital.hu
