👉Як кнопка “Увійти через Google” може виявитися фішингом
Кнопка “Увійти через Google” стала стандартом у більшості сучасних сервісів: освітніх платформ, застосунків, форумів і онлайн-сервісів. Вона виглядає просто і звично, але саме ця звичність іноді використовується у фішингових атаках.
💛Як працює справжній вхід через Google
У нормальному випадку кнопка “Sign in with Google” працює через офіційну систему авторизації Google (OAuth). Це означає:
✔ користувач натискає кнопку на сторонньому сайті;
✔ його перенаправляє на сторінку Google;
✔ адреса сторінки завжди виглядає як accounts.google.com (або іноді:
https://accounts.google.com/signin
https://accounts.google.com/o/oauth2/...
При вході через google-кнопку довгий адресний рядок сторінки part=... і client_id=...
Це нормально:
🔹технічний ідентифікатор запиту
🔹унікальний “ключ” конкретного входу
🔹прив’язка до сайту, де зареєстровані, як сервісу
👉 виглядає страшно, але це нормально воно змінюється кожного разу
..
є замок 🔒 (HTTPS)
немає зайвих слів перед google.com);
✔ пароль вводиться тільки на сторінці Google, а не на сторонньому сайті;
✔ після підтвердження Google повертає користувача назад у сервіс.
У цьому сценарії сторонній сайт ніколи не отримує пароль.
🔒 HTTPS + замок
У браузері має бути:
🔒 замок
https://
👉 але важливо:
✔ замок ≠ гарантія безпеки
❗ це лише шифрування, не “повна довіра”
Просте пояснення “по-людськи”
Сайт = магазин
Google = охоронець
OAuth = пропуск
---
❌ Як виглядає фішинг через “Google кнопку”
Фішингові сайти намагаються імітувати цей процес. Є кілька типових схем:
1. Підроблена сторінка входу
Користувача після кліку перенаправляють на сторінку, яка виглядає як Google, але має інший домен (не accounts.google.com). Наприклад, підроблені адреси можуть містити слова “google”, але не бути офіційним доменом Google.
Домен НЕ google.com
Наприклад:
google-lookalike
щось дивне з дефісами
accounts.google.verify-login.net
або будь-що, де google не є основним доменом
Візуально - ідеально копія Google.
👉 це підробка
💡 Головне правило:
Справжній домен = одне слово + .com (або офіційна доменна зона компанії). Знати точну назву домену сайту до кожної літери - це важливо.
💛 справжній Google login завжди:
✔ відкривається на accounts.google.com
✔ просить пароль тільки там
✔ має Google інтерфейс
✔ не “живе” всередині чужого сайту
Фейкові сайти часто мінімальні, з однією сторінкою логіну, без реального контенту.
2. Вбудована форма логіну
На фішинговому сайті може з’явитися форма, яка візуально копіює Google-логін, але фактично є просто сторінкою збору пароля.
“Google-вікно” виглядає як вбудоване всередині сайту
💛Нормально: окреме вікно / вкладка Google
❌Погано: форма логіна прямо на сторонньому сайті
3. Фальшива кнопка
Кнопка “Увійти через Google” може бути лише картинкою або скриптом, який веде не до Google, а на сторонній ресурс.
4. Перенаправлення через проміжні сторінки
Іноді користувача спочатку ведуть через кілька сторінок, щоб приховати справжню адресу фінальної сторінки.
---
🚨Як перевірити, що все безпечно
Є кілька простих правил, які допомагають уникнути фішингу:
✔ Перевіряти адресу сторінки: вона має бути accounts.google.com
✔ Вводити пароль Google тільки на сторінках Google
✔ Не довіряти формам логіну, які з’являються всередині стороннього сайту (кнопка “Login with Google” повинна вести на accounts.google.com, погано коли відкривається дивне вікно всередині сайту або просить пароль Google прямо на сайті).
✔ Після натискання кнопки завжди дивитися, куди відбувається перенаправлення
✔ Використовувати офіційні магазини застосунків для встановлення додатків
---
💛Також можна перевірити сертифікат сайту
Натиснути на 🔒 замочок в налаштуваннях адресного рядка → “Connection is secure” → “Certificate”
Там має бути щось типу:
Issued to: Google Trust Services
або Google LLC
❌Для сторінки входу Google сертифікат має належати Google або бути виданим через довірену інфраструктуру Google Trust Services. Якщо є сумніви щодо домену або сертифіката - не вводьте пароль.
Фішингові сторінки часто виглядають як Google але URL не Google, бо дизайн легко скопіювати, а домен - ні.
---
🧭Якщо трапилось так, що сайт з часом зробив ребрейдинг, змінив адресу, відбувається перенаправлення на іншу адресу, можуть бути проблеми з міграцією акаунтів
Якщо зайшли на старий акаунт, а історія діяльності на сайті чиста - це той випадок. Якщо вхід на сайт відбувався через введення адреси ел.пошти і пароль, а тепер є можливість зайти на сайт тільки через кнопку “Login with Google”, то Google-акаунт створює новий профіль, а старий профіль був прив’язаний до email + password.
Система може бачити:
“email-password акаунт”
і “Google OAuth акаунт”
як два різні профілі.
Або це може бути повна зміна авторизаційної системи сайту після ребрендингу і старий акаунт з усім прогресом і історією відновити вже не вдасться.
Треба писати до офіційної технічної підтримки сайту, яка має "розрулити" ситуацію або пояснити, що зміни на сайті відбулись незворотні і старий метод логіну більше не активний, стара система входу вже вимкнена або змінився провайдер авторизації після ребрендингу.
---
🔐 Головний принцип безпеки
Справжня Google-авторизація завжди відбувається на домені Google.
Якщо пароль вводиться будь-де ще - це потенційний фішинг.
👉 Кнопка “Увійти через Google” є безпечною лише тоді, коли користувач уважно перевіряє адресу сторінки. Фішингові атаки часто не зламують технології - вони використовують довіру та звичку натискати “не думаючи”.
Тому базова уважність до домену та поведінки сторінки залишається найпростішим і найефективнішим захистом.
Матеріал підготовлено за допомогою ChatGPT.
