Gmail je v ohrožení, varuje Google. Když podlehnete strachu, přijdete o účet i peníze

Podvodníci dokázali odeslat e-mail, který prošel bezpečnostní kontrolou Googlu a v Gmailu se zařadil mezi skutečná varování. Stačilo jedno kliknutí.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Google

V dubnu 2025 popsal vývojář Nick Johnson útok, který dostal i zkušeného technika do úzkých. Do schránky mu přistála zpráva od „no-reply@google.com“, přesvědčivě podepsaná protokolem DKIM, s textem o právním požadavku na data z jeho Google účtu. Odkaz vedl na stránku hostovanou na „sites.google.com“, tedy na doméně, které uživatelé věří. Kdo klikl a zadal heslo, otevřel útočníkům dveře ke všemu, co na účtu měl.

Jak útok fungoval a proč vypadal tak věrohodně

Klasický phishing bývá rozpoznatelný podle podezřelé domény odesílatele nebo kostrbatého textu. Dubnová kampaň však šla dál. Útočníci využili takzvaný DKIM replay, tedy zneužití způsobu, jakým Google vkládá do bezpečnostních e-mailů název OAuth aplikace. Do tohoto pole vložili celý phishingový text, a protože zprávu technicky odeslal Google sám, digitální podpis seděl. Gmail ji proto mohl zařadit do stejného vlákna jako legitimní bezpečnostní upozornění.

Odkaz v e-mailu nesměřoval na podezřelou doménu, ale na „sites.google.com“, kde útočníci vytvořili kopii přihlašovací stránky. Oběť viděla známé rozhraní, důvěryhodnou adresu a podepsaný e-mail. Tři signály, které běžně stačí k tomu, aby člověk zadal heslo bez většího přemýšlení.

Google po zveřejnění potvrdil nasazení ochran proti této konkrétní cestě zneužití. Jenže princip přežil. V srpnu 2025 Malwarebytes popsal další vlnu, tentokrát s motivem „někdo se pokouší proniknout do vašeho účtu“ a s navazujícím telefonátem, při kterém útočník vylákal i jednorázový ověřovací kód.

Od ukradeného hesla k prázdnému účtu v bance

Samotné heslo ke Gmailu je jen první klíč. Jakmile útočník ovládne Google účet, otevírá se dominový efekt:

• Uložená hesla – Google Password Manager může obsahovat přístupy k desítkám dalších služeb.
• Přihlášení přes Google – funkce „Přihlásit pomocí Google“ propojuje účet s aplikacemi třetích stran.
• Reset hesel – potvrzovací e-maily pro obnovu přístupu k bankám, e-shopům nebo sociálním sítím chodí do převzaté schránky.

Pokud oběť vydá i kód pro vícefaktorové ověření, padá poslední bariéra. A v české praxi často následuje druhá fáze, která přináší i ztrátu peněz. Policie ČR popsala případ ze Zlínska, kde oběti po kompromitaci účtu zavolal falešný bankéř, pak falešný policista, a muž v panice převedl 630 tisíc korun na „bezpečný účet“. Peníze zmizely.

Jak poznat podvrh od skutečného varování

Google výslovně uvádí, že nikdy nebude e-mailem ani telefonicky žádat heslo nebo jednorázový kód. Skutečné bezpečnostní varování ukazuje konkrétní typ zařízení, čas a lokaci přihlášení a nabízí tlačítko „Ne, bezpečný účet“. Totéž jde ověřit přímo v účtu. Praktický checklist:

• Neklikejte z e-mailu. Otevřete prohlížeč, zadejte „myaccount.google.com/notifications“ a zkontrolujte, zda tam stejná událost existuje.
• Zpráva chce heslo nebo kód? Podvod. Google to přes e-mail nedělá.
• Odkaz vede na „sites.google.com“ místo „accounts.google.com“? Podvod.
• Text tlačí na okamžitou akci s hrozbou právních důsledků? Typický nátlakový vzorec.
• Volá vám někdo s žádostí o nadiktování kódu? Google upozorňuje, že jeho zaměstnanci o ověřovací kód nikdy nežádají.

Vlastní výzkum Googlu přitom ukazuje, že většina phishingových kampaní používá anglické šablony bez lokalizace a cílí globálně. Český uživatel není mimo riziko jenom proto, že zpráva přijde anglicky, zvlášť pokud jeho údaje unikly v některém z předchozích úniků dat, což podle Googlu ještě zvyšuje pravděpodobnost cílení přibližně pětinásobně.

Co dělat, když už jste klikli

V tomto případě rozhoduje rychlost. Pokud jste zadali heslo nebo kód, okamžitě udělejte následující:

• Změňte heslo – přímo na myaccount.google.com, ne přes odkaz z e-mailu.
• Zkontrolujte bezpečnostní aktivitu – v sekci „Recent security events“ odstraňte neznámá zařízení a relace.
• Změňte hesla i jinde – všude, kde používáte stejné heslo nebo přihlášení přes Google.
• Kontaktujte banku – pokud jste zadali finanční údaje nebo proběhl převod, volejte okamžitě.
• Nahlaste incident – phishingový e-mail nahlaste v Gmailu jako phishing; pro CSIRT.CZ si připravte kompletní hlavičky a tělo zprávy. Policie ČR přijímá oznámení na lince 158. NÚKIB nabízí metodickou pomoc i subjektům bez zákonné povinnosti hlásit.

Pokud se už nemůžete přihlásit, Google nabízí postup pro obnovu účtu na „accounts.google.com/signin/recovery“. Čím dřív ho spustíte, tím vyšší šance na záchranu účtu.