02.07.2026 19:52
Технологии

Хакеры взламывают почту Gmail без доступа к паролю

Текст:  Татьяна Самусенко
Российская газета - Федеральный выпуск: №145 (9981)
Кибермошенники используют новый способ доступа к корпоративной почте в Gmail. Они могут читать переписки и получать данные из других сервисов Google, не взламывая пароль и оставаясь незамеченными в течение длительного времени.
Читать на сайте RG.RU

Так, компрометация почты происходит, когда сторонние приложения запрашивают доступ к сервисам Google через API. Например, если пользователю нужно синхронизировать данные календаря на мобильном телефоне с электронной почтой. Для подтверждения требуется OAuth-токен. Чтобы получить такой токен и, соответственно, доступ к нужным ресурсам, злоумышленники разработали инструмент Umbrij. Он может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения.

По данным "Лаборатории Касперского", в случаях когда пользователь не вышел из своего аккаунта в Gmail, браузер сохраняет его сессию авторизации, чем и пользуются атакующие. Они запускают экземпляр браузера, подключаются через отладочный порт и отправляют запросы на получение доступа к ресурсам учетной записи - в рамках сохраненной пользовательской сессии. Так злоумышленникам не требуется вводить данные для входа.

Взлом может произойти при синхронизации аккаунта с почтой или сторонними сервисами

Классический фишинг охотится за учетными данными: злоумышленник выманивает логин и пароль, а потом входит в аккаунт "с нуля". Здесь же атака работает поверх уже открытой сессии: если сотрудник не вышел из аккаунта в браузере на движке Chromium, инструмент подключается к браузеру через отладочный порт и от имени пользователя получает токен.

Для маскировки этот инструмент подставляет идентификаторы настоящих приложений Google Workspace (миграция и синхронизация с Outlook), поэтому запросы теряются среди легитимного трафика. Еще у пользователя не срабатывает ни один привычный триггер тревоги: нет письма о входе с нового устройства, нет запроса второго фактора, нет сообщения о смене пароля - с его стороны не происходит ровно ничего. Токен же действует, пока его явно не отозвать. Смена пароля сессию не всегда рвет, а активные интеграции продолжают работать. В результате чтение переписки, календаря, контактов и файлов на Google Drive может продолжаться неделями.

Новые правила Google ставят под вопрос работу RuStore и санкционных сервисов

В случае подобной атаки пользователя должны насторожить косвенные признаки: новые или необычные выдачи OAuth-разрешений и нетипичные паттерны обращения к API - по времени, диапазону IP-адресов или объему запросов. А также - запуск браузера в фоновом режиме с флагами удаленной отладки, что для рядового сотрудника является явной аномалией.

Научный сотрудник Университета ИТМО Николай Еритенко советует пользователям взять за правило выход из аккаунта Google на чужих и общедоступных компьютерах. Кроме того, стоит проверять список подключенных к Google-аккаунту приложений, обновлять браузер и средство антивирусной защиты, так как отправной точкой атаки является зараженное устройство.

Важно, что при таких атаках привычных сигналов нет, отмечает эксперт по кибербезопасности Angara Security Николай Долгов. По его словам, следует обращать внимание на незнакомые сторонние приложения с доступом к аккаунту в разделе безопасности Google ("Сторонние приложения с доступом к аккаунту"), особенно с широкими разрешениями на полный доступ к почте и контактам.

МВД предупредило о новом вредоносном ПО, которое грозит блокировкой Android
.tech