Хакеры обошли двухфакторную защиту Gmail, используя пароли для приложений (ASP). Атака была направлена на исследователя Кейра Джайлса и сопровождалась поддельной перепиской от имени Госдепа США. Google подтвердил взлом и рекомендует использовать OAuth и усиленные режимы защиты
Google опубликовал статью, в которой подтверждает факт взлома учетной записи Gmail через обход многофакторной аутентификации (MFA). Однако, как отмечается, это была целенаправленная атака — скорее всего, обычным пользователям бояться нечего.
Группа Threat Intelligence от Google (GTIG) совместно с исследовательской организацией Citizen Lab провела расследование инцидента. Атака была нацелена на британского исследователя, специализирующегося на России — Кейра Джайлса (Keir Giles). По словам Google, за атакой стоит кибергруппа UNC6293, предположительно связанная с APT29 / ICECAP, также известной как Cozy Bear..
Хакеры провели сложную атаку на основе социальной инженерии. 22 мая 2025 года они представились сотрудником Госдепа США по имени «Claudie S. Weber» и отправили письмо с приглашением на закрытую консультацию по теме, в которой разбирается Джайлс. Хотя письмо пришло с адреса Gmail, хакеры добавили в копию четыре адреса с доменом @state.gov (вероятно, несуществующих) и отправили письмо в рабочие часы по Вашингтону — все для создания иллюзии подлинности. Citizen Lab предполагает, что для составления письма использовалась нейросеть.
После нескольких переписок злоумышленники прислали Джайлсу PDF-файл с инструкцией по регистрации в платформе «MS DoS Guest Tenant» Госдепа. В документе, стилизованном под официальный, содержались шаги по созданию пароля для приложения (App-Specific Password, ASP) для учетной записи Gmail.
Именно этим способом хакеры получили постоянный доступ к почтовому ящику. По данным Google, с апреля по июнь 2025 года они аналогичным образом атаковали ученых и критиков российских властей, выманивая у них ASP для доступа к их почте.
Google обнаружил атаку, заблокировал вредоносные письма и обезопасил взломанную учетную запись. Сам Джайлс узнал о подозрительной активности только в начале июня. Citizen Lab опубликовала подробный отчет об атаке.
GTIG зафиксировала аналогичный эпизод: злоумышленники просили предоставить ASP от Microsoft якобы для настройки почтового клиента, что позволило им получить доступ к содержимому писем.
Это редкий случай, когда атака была направлена на конкретного человека. Тем не менее, сам факт использования ASP для обхода MFA вызывает тревогу. Будьте внимательны: не вводите такие пароли в подозрительных приложениях и по возможности используйте авторизацию через OAuth (Google, Apple и др.), а не ASP.
Работайте братья, наши слоняры обвели вокруг пальца офисных скуфов
Молодцы!)
ой ору, так держать
Обделалась хвалёная двухфакторная защита..Ждём когда обделается и OAuth
Вован и Лексус опять пранкуют ту страну... Отдельная уважуха за платформу "MS DoS" - быть т.н. "учёным", пользоваться цифровыми благами цивилизации, и при этом быть столь лопоухим дурачком - могут только среднечеловеки первой иканомики мира.
При чём тут хакеры, когда это тупо развод в стиле "вы выиграли миллион, нажмите на эту ссылку/файл, и получите приз!"
Ну почему развод? В новости он то попал, так что считай за пиар за взлом акка)
Это могут а дюневу не могут - новость из категории, звездим как дышим
Дальше можно не читать. У нас такие "хакеры" "взламывают" Госуслуги доверчивых пенсионеров постоянно.
Так они взломали учётку или развели лоха? Я что-то не совсем понял