Google upozorňuje, že „brániť sa proti prevzatiu účtov“ je čoraz ťažšie, pretože útočníci už neútočia iba na samotné heslá. Stále agresívnejšie sa snažia získať aj jednorazové kódy a iné tokeny viacfaktorového overenia, no najmä autentizačné cookies, teda súbory v prehliadači, ktoré po prihlásení udržiavajú aktívnu reláciu. Ak sa útočník dostane k takejto relácii, v praxi môže pokračovať v prístupe bez toho, aby musel znovu prejsť dodatočnými kontrolami, čo výrazne znižuje účinnosť tradičných obranných vrstiev.
Riziko je vyššie najmä vtedy, keď je Google účet pre používateľa „centrálnym uzlom“ a prehliadač Chrome na viacerých zariadeniach synchronizuje veľa dát. Pri zapnutej synchronizácii sa medzi zariadeniami môžu prenášať nielen záložky, história a otvorené karty, ale aj uložené heslá, automaticky vypĺňané údaje, adresy či platobné informácie. V praxi to znamená, že prevzatie účtu nemusí skončiť pri strate prístupu ku Gmailu alebo Disku, ale môže odomknúť aj širokú stopu používateľa v prehliadači, vrátane citlivých údajov, ktoré si mnohí ukladajú v domnení, že ide len o pohodlnú funkciu. Časť týchto informácií navyše vedie aj mimo ekosystému Google, pretože uložené prihlasovacie údaje sa používajú na webových službách tretích strán.
Jedným z dôvodov, prečo je situácia zložitejšia, je posun v taktike útočníkov. Čoraz častejšie sa využívajú techniky, pri ktorých obeť nadobudne dojem, že sa prihlasuje štandardne, no v skutočnosti komunikuje cez útočníkom sprostredkované rozhranie. Cieľom nie je iba zachytiť meno a heslo, ale dostať sa k relácii po úspešnom overení. Ak útočník získa reláciu, môže sa následne pohybovať medzi službami bez toho, aby opakovane narážal na ochranné brány, ktoré by pri bežnom prihlásení vyžadovali ďalšie potvrdenie.
Google preto posúva obranu aj „za okamih prihlásenia“. V podnikovej sfére zavádza mechanizmy, ktoré sa snažia viazať reláciu na konkrétne zariadenie, aby ukradnuté cookies nebolo možné jednoducho zneužiť inde. Zároveň urýchľuje tlak na prechod od hesiel k passkeys, teda prístupovým kľúčom, ktoré sú navrhnuté tak, aby boli odolnejšie voči phishingu a krádeži prihlasovacích údajov.
Pre bežného používateľa z toho vyplýva pomerne jasné posolstvo: čím viac citlivých údajov je naviazaných na jeden účet a čím „širšie“ sú nastavené synchronizácie, tým vyššie sú stávky pri jeho kompromitácii. Prevzatie Google účtu sa v takom prípade nemusí skončiť len nepríjemnou stratou prístupu, ale môže sa zmeniť na reťazový incident, ktorý otvorí dvere aj k účtom a službám, ktoré s Googlom priamo nesúvisia.
Google v upozorneniach k tejto téme zároveň zdôrazňuje, že riziko sa dá znížiť kombináciou technických nastavení a disciplíny pri práci s účtom. V prvom rade odporúča skontrolovať nastavenia synchronizácie Chrome a zvážiť, či je naozaj potrebné synchronizovať všetko. Práve ponechanie predvoleného režimu, pri ktorom sa do účtu ukladajú aj heslá, platobné údaje a automaticky vypĺňané informácie, môže pri prevzatí účtu výrazne rozšíriť rozsah škôd. Používateľom preto radí vylúčiť zo synchronizácie údaje, ktoré nepotrebujú mať dostupné na viacerých zariadeniach, prípadne synchronizáciu úplne vypnúť tam, kde neprináša reálnu pridanú hodnotu.
Ďalším krokom je vyššie spomenutý prechod na passkeys (prístupové kľúče), ktoré sú navrhnuté tak, aby boli odolnejšie voči phishingu než klasické heslá, a zároveň používanie silnejšieho viacfaktorového overenia. Google v tejto súvislosti upozorňuje, aby sa používatelia nespoliehali na SMS kódy, ktoré sú zraniteľnejšie voči presmerovaniu či sociálnemu inžinierstvu, ale preferovali modernejšie metódy v autentifikačných aplikáciách alebo hardvérové bezpečnostné kľúče. Súčasťou odporúčaní je aj kontrola kvality hesiel: dĺžka, jedinečnosť a nepoužívanie rovnakých kombinácií naprieč službami zostávajú základom, pretože odcudzené prihlasovacie údaje sa často skúšajú aj na iných platformách.
Google zároveň uvádza, že „v prípade potreby sa dá synchronizácia kompletne resetovať, čím sa z cloudu odstránia staršie záznamy, ktoré už používateľ nepotrebuje, alebo ktoré by mohli predstavovať zbytočné riziko. V praxi ide o spôsob, ako si upratať dáta, znížiť ich objem v účte a minimalizovať dopad, ak by sa útočník predsa len k účtu dostal.
