Dokładnie. Gdzieś czytałem, że wyciągają ciasteczka i są w stanie wyciągnąć ustawienia z przeglądarki, więc są w stanie pewnie zalogować się u siebie na takich samych ustawieniach częściowo.
Ja jeszcze trochę podrążę, bo naprawdę interesuje mnie na jakiej zasadzie takie wynalazki działają. Jeśli ten trojan faktycznie jest w stanie wyciągnąć / "sklonować" aktywne logowanie i w ten sposób osoby niepowołane dostały się na Twoje konto, to nadal nie rozumiem w jaki sposób zostało zmienione hasło. Nie trzyma się to kupy. Nawet bez aktywnej weryfikacji dwuetapowej, dostanie się do panelu zabezpieczeń w Google wymaga ponownego wprowadzenia hasła (także na już aktywowanym urządzeniu). Pominę już fakt, że zawsze ustalając nowe hasło, trzeba podać również to stare. Więc pytanie skąd je mieli, bo o ile mi wiadomo, ciasteczka z danymi aktywnego logowania nie zawierają loginu, ani hasła. Chyba, że miałeś je zapisane przeglądarce, to wtedy pewnie da się to jakoś wyciągnąć, bo gdzieś są przechowywane lokalnie.
BTW jakiś czas temu miałem w firmie szkolenie (webinar) z tematyki cyber-bezpieczeństwa, które przeprowadzał Niebezpiecznik. Powiem szczerze, że sporo rzeczy mnie tam zaskoczyło. Na przykład to, że da się również sfałszować adres e-mail, z którego jest wysłana wiadomość (w sensie, nie nazwa, która się wyświetla, ale rzeczywisty, pełny adres, nawet z domeny gov.pl). Dopiero gdzieś w właściwościach takiej wiadomości można wychwycić, że to było wysłane jednak z innego serwera. Wiadomo, że najsłabszym ogniwem jest człowiek i warto być świadomym, że weryfikacja dwuetapowa też nie jest w 100% zabezpieczeniem (bo można np. podać przestępcom dane logowania i kod SMS na stronie podstawionej i jest on od razu przez nich wykorzystany na rzeczywistej witrynie).
