Cybersecurity

Claude για Chrome: πώς ένα κακόβουλο extension μπορεί να τραβήξει και τα Gmail σας

Ένα πρόβλημα στο Claude for Chrome δείχνει ότι τα browser extensions δεν είναι πάντα ακίνδυνα. Αν χρησιμοποιείτε Gmail, Google Docs ή συνδέσεις με εταιρικά εργαλεία, δείτε τι πρέπει να ελέγξετε σήμερα.

Αν έχετε βάλει ένα AI extension στον Chrome για να σας γλιτώνει χρόνο, καλό είναι να το ξαναδείτε με ψυχραιμία. Το πρόβλημα εδώ δεν είναι ότι το Claude ή οποιοδήποτε άλλο AI «διαβάζει» μόνο του τα mail σας. Το πιο πρακτικό ρίσκο είναι πολύ πιο πεζό: ένα κακόβουλο extension στο ίδιο browser μπορεί να παριστάνει τον χρήστη, να πατάει κουμπιά και να σπρώχνει το AI να εκτελεί ενέργειες σε υπηρεσίες που ήδη έχετε συνδέσει, όπως Gmail, Google Docs, Google Calendar ή και εργαλεία τύπου Salesforce.

Για έναν απλό χρήστη αυτό μεταφράζεται σε δύο πράγματα: χαλασμένα όρια ανάμεσα σε «βοηθό» και «πρόσβαση» και μεγαλύτερη επιφάνεια επίθεσης για phishing, κλοπή στοιχείων ή ύπουλες ενέργειες μέσα σε λογαριασμούς που εμπιστεύεστε. Για μια μικρή επιχείρηση, το ρίσκο μεγαλώνει αμέσως, γιατί ένας browser σε υπολογιστή γραφείου μπορεί να έχει ανοιχτό εταιρικό Gmail, ημερολόγια, shared docs και CRM. Δεν χρειάζεται να χαθεί ο κωδικός για να γίνει ζημιά· αρκεί να δοθεί η λάθος εντολή στο λάθος σημείο.

TL;DR: αν χρησιμοποιείτε Claude για Chrome ή οποιοδήποτε AI extension με πρόσβαση σε υπηρεσίες σας, ελέγξτε ποια extensions έχετε εγκαταστήσει, αφαιρέστε όσα δεν χρειάζεστε, κλείστε τα περιττά permissions και ενεργοποιήστε ισχυρό 2FA ή passkeys στους βασικούς λογαριασμούς σας.

Πού κρύβεται το ρίσκο στον Chrome

Τα browser extensions έχουν ήδη αρκετή δύναμη από μόνα τους. Μπορούν να βλέπουν τι φορτώνει η σελίδα, να παρεμβαίνουν σε φόρμες, να αλλάζουν περιεχόμενο και να τραβούν δεδομένα από web apps που χρησιμοποιείτε καθημερινά. Όταν σε αυτό μπει και ένα AI εργαλείο που συνδέεται με λογαριασμούς σας, η κατάσταση γίνεται πιο ευαίσθητη: ο συνδυασμός «browser permissions + connected services + automation» είναι ακριβώς το σημείο που ψάχνουν οι επιτιθέμενοι.

Στην πράξη, ένα ύποπτο extension δεν χρειάζεται να «σπάσει» το AI. Μπορεί να εκμεταλλευτεί το γεγονός ότι το AI έχει ήδη νόμιμη πρόσβαση σε mail, έγγραφα ή ημερολόγια, και να το οδηγήσει να κάνει βήματα που εσείς δεν θα εγκρίνατε με καθαρό μυαλό. Αυτό ανοίγει δρόμο για πολύ πιο πειστικό phishing, για μαζική ανάγνωση μηνυμάτων, για ψάρεμα κωδικών επαναφοράς και για αλλαγές σε ρυθμίσεις λογαριασμών που δεν φαίνονται αμέσως.

Τι να ελέγξετε τώρα στο Gmail, στα docs και στους εταιρικούς λογαριασμούς

Αν έχετε βάλει εργαλεία AI στον browser, ξεκινήστε από τα βασικά. Ανοίξτε τη λίστα με τα Chrome extensions και κρατήστε μόνο όσα χρειάζεστε πραγματικά. Ό,τι δεν θυμάστε γιατί το εγκαταστήσατε, διαγράψτε το. Για όσα μείνουν, δείτε ποια δικαιώματα ζητούν: πρόσβαση σε όλα τα sites, ανάγνωση και αλλαγή δεδομένων σε web pages, πρόσβαση σε tabs ή clipboard. Αν ένα extension δεν χρειάζεται τόσο πλατιά πρόσβαση, περιορίστε το.

Μετά περάστε στους λογαριασμούς σας. Στο Gmail ελέγξτε αν υπάρχουν συνδεδεμένες συσκευές ή sessions που δεν αναγνωρίζετε. Δείτε τις συνδεδεμένες εφαρμογές στον λογαριασμό Google και αφαιρέστε όσες δεν χρησιμοποιείτε. Κάντε το ίδιο σε Microsoft 365, Slack, Salesforce ή όποιο SaaS δουλεύετε στην επιχείρηση. Αν βλέπετε παλιές συνδέσεις, βγάλτε τες. Αν ο browser ενός υπαλλήλου είναι και η «πόρτα» για το CRM, τότε το extension policy δεν είναι λεπτομέρεια IT· είναι βασική άμυνα.

Για όσους χρησιμοποιούν Gmail για δουλειά, έχει νόημα να κοιτάξουν και τους κανόνες προώθησης, τα filters και τις εξουσιοδοτήσεις πρόσβασης. Οι επιτιθέμενοι δεν κυνηγούν πάντα τον κωδικό. Μερικές φορές προτιμούν να στήσουν αθόρυβα forwarding, να κρύψουν ειδοποιήσεις ή να μελετήσουν την αλληλογραφία για να στείλουν πειστικό εταιρικό phishing αργότερα.

Πώς θωρακίζετε συσκευή και λογαριασμούς χωρίς να κόψετε την παραγωγικότητα

Η πιο πρακτική άμυνα είναι να μικρύνετε το πεδίο δράσης. Χρησιμοποιήστε ξεχωριστό browser προφίλ για εργασία, ιδανικά χωρίς περιττά extensions. Για τα πιο ευαίσθητα accounts, όπως email διαχείρισης, cloud backups και τράπεζες, προτιμήστε καθαρό browser χωρίς AI plug-ins. Αν δεν μπορείτε να τα αποφύγετε, βάλτε αυστηρή πολιτική: μόνο extensions από γνωστό publisher, μόνο όσα περνούν review από τον υπεύθυνο IT ή τον ίδιο τον ιδιοκτήτη της μικρής επιχείρησης.

Στους λογαριασμούς, το 2FA είναι απαραίτητο, αλλά το passkeys δίνει καλύτερη άμυνα εκεί που υποστηρίζεται. Οι κωδικοί από μόνοι τους δεν αρκούν, ειδικά αν κάποιο extension ή μια κακόβουλη σελίδα καταφέρει να τους δει μέσα από τον browser. Επίσης, κλείστε το auto-fill για πολύ ευαίσθητα στοιχεία όπου γίνεται, κρατήστε ενημερωμένο τον Chrome και βεβαιωθείτε ότι το λειτουργικό παίρνει security updates. Σε Windows 11, αυτό σημαίνει και έλεγχο για pending updates, αλλά και μηνιαίο scan σε περίπτωση που το extension έχει ήδη προλάβει να κάνει ζημιά.

Για μικρές επιχειρήσεις στην Ελλάδα, η πιο χρήσιμη κίνηση είναι να οριστεί ξεκάθαρα ποιος επιτρέπεται να βάζει extensions στους εταιρικούς browsers. Ένας κοινός κανόνας τύπου «ό,τι χρειάζεται για δουλειά και τίποτε άλλο» κόβει πολλούς κινδύνους πριν γίνουν incident. Αν έχετε λίγους υπολογιστές, μπορείτε να το κάνετε ακόμα και χειροκίνητα: ένα shared checklist με approved extensions, μία φορά τον μήνα έλεγχο, και άμεση αφαίρεση όσων δεν έχουν λόγο ύπαρξης.

Ο κανόνας που μένει χρήσιμος και μετά από αυτό το περιστατικό

Η ουσία δεν είναι να φοβηθεί κανείς τα AI εργαλεία, αλλά να σταματήσει να τα αντιμετωπίζει σαν «έξυπνα πρόσθετα» χωρίς κόστος ασφάλειας. Ο browser έχει γίνει κέντρο ζωής: email, έγγραφα, ημερολόγιο, cloud, τράπεζες, tickets, social accounts. Αν προσθέσετε εκεί ένα extension που διαβάζει και ενεργεί για λογαριασμό σας, τότε κάθε αδυναμία στο extension οικοσύστημα γίνεται και δική σας αδυναμία.

Αν θέλετε μία απλή γραμμή άμυνας, είναι αυτή: λιγότερα extensions, πιο στενά δικαιώματα, ισχυρό login, τακτικό review σε συνδεδεμένες εφαρμογές. Αυτά αρκούν για να μειώσετε σημαντικά το ρίσκο, χωρίς να κόψετε τη χρησιμότητα του browser ή του AI βοηθού σας.

Τεκμηρίωση