A biztonsági szakértők egyre kifinomultabb támadásokkal találkoznak, amelyek célpontja már nem csak a jelszavad, hanem annak alternatívái is – mint például a Google „alkalmazásjelszavak” (App Passwords) funkciója. A legújabb támadási hullám épp ezt a lehetőséget használja ki, és ezzel akár képes lehet megkerülni a kétfaktoros hitelesítést is.

Ebben a cikkben bemutatom, hogyan működik ez az új fenyegetés, és mit tehetsz azért, hogy te és a weboldalad is biztonságban maradjon.

🔓 Mi az a Google App Password és miért veszélyes most?

Az App Passwords egy olyan funkció, amely lehetővé teszi, hogy bizonyos alkalmazások jelszót kapjanak a Google-fiókhoz való hozzáféréshez – anélkül, hogy be kellene írni a fő jelszót vagy a 2FA-kódot. Ezt főleg régi alkalmazásoknál használják, amelyek nem támogatják a kétlépcsős hitelesítést.

A probléma az, hogy ezek az alkalmazásjelszavak túl nagy szabadságot adnak – és most a támadók ezt ki is használják.

🧠 Hogyan működik a támadás?

A támadók több lépcsőben végzik el a kompromittálást:

1. Adathalász e-mailekkel megszerzik a Google-fiók jelszavát és 2FA-kódját (például egy megtévesztő bejelentkezési oldal segítségével).
2. Automatikusan létrehoznak egy alkalmazásjelszót a fiókhoz, így akkor is hozzáférhetnek a levelekhez, ha a felhasználó később jelszót cserél.
3. Ezután a támadó egy IMAP-alapú emailklienst használva végigolvassa az áldozat levelezését – anélkül, hogy további hitelesítési lépés szükséges lenne.

A fiók tehát látszólag védett – 2FA bekapcsolva –, mégis kiszolgáltatott!

⚠️ Kik vannak veszélyben?

Ez a módszer minden olyan felhasználót és weboldal tulajdonost érinthet, aki:

• Google-fiókot használ WordPress bejelentkezéshez, kapcsolatfelvételi űrlapokhoz vagy email küldéshez.
• Régebbi emailklienst (pl. Outlook 2016, Thunderbird) használ.
• Nem tiltja le az App Passwords funkciót.
• Nincs tudatában annak, hogy valaki ilyen módon is hozzáférhet az adataihoz.

🛡️ Mit tehetsz a védelem érdekében?

1. Tiltsd le az alkalmazásjelszavak használatát!

• Lépj be Google-fiókodba.
• Nyisd meg a https://myaccount.google.com/security oldalt.
• A „Bejelentkezés a Google-ba” szekcióban tiltsd le az App Passwords lehetőséget (ha engedélyezve van).

2. Kapcsold be a „fejlettebb” 2FA-t (pl. Google Prompt vagy Titan Security Key)

Az SMS-alapú vagy e-mailes második hitelesítési tényező könnyen megkerülhető. A Google Prompt vagy fizikai biztonsági kulcs használata sokkal biztonságosabb.

3. Nézd át az aktív hozzáféréseket!

• A Google biztonsági beállítások oldalán ellenőrizheted, hogy milyen alkalmazások és eszközök férnek hozzá a fiókodhoz.
• Törölj minden ismeretlen vagy felesleges engedélyt!

4. Használj biztonságosabb SMTP szolgáltatást WordPress alatt!

• Ne használj App Password-t SMTP-hitelesítésre!
• Helyette OAuth2-alapú hitelesítést vagy dedikált SMTP szolgáltatást (pl. SendGrid, Mailersend, Brevo) érdemes használni.

5. Rendszeres biztonsági ellenőrzés WordPress oldaladon

• Használj Wordfence vagy Sucuri plugint.
• Aktiválj kétfaktoros hitelesítést a WordPress admin felhasználók számára is.
• Kísérd figyelemmel a nem szokványos belépési próbálkozásokat.

🧩 Összefoglalás

Ez az újfajta támadás megmutatta, hogy a kétfaktoros azonosítás önmagában már nem elég, ha a felhasználó figyelmetlen vagy nem zárja le a régi hozzáférési módokat. A Google App Passwords funkció egy régóta létező, de ma már veszélyes kompromisszum – amit érdemes mielőbb deaktiválni.

🛠️ Bizonytalan vagy, hogy biztonságban van-e a fiókod vagy a WordPress oldalad?

Kérj tőlünk ingyenes biztonsági ellenőrzést, és megmutatjuk, hol vannak a legnagyobb kockázatok!