谷歌近日警告其近20億Gmail用戶,立即刪除一封試圖偽裝成來自谷歌的可疑電子郵件,這種新型騙局被稱為「無回復」電子郵件攻擊。
(圖源:每日郵報網站截圖)
受害者會收到一封看似來自[email protected]的官方郵件,郵件中聲稱谷歌已接到警方的傳喚,要求公布用戶帳戶中的所有信息,並附帶一個谷歌支持頁面的連結,表面上看似包含針對用戶的法律案件詳情。
然而,谷歌表示這一切都是假的。這是一種網絡釣魚攻擊,目的是竊取用戶的個人信息。
當用戶點擊連結並下載或批准查看偽造法律文件的權限時,攻擊隨之啟動。受害者在不知情的情況下給予騙子對其Google帳戶的訪問權限,例如讀取電子郵件或訪問文件的權限。
更嚴重的是,在某些情況下,下載的偽造文件會將惡意軟體傳播至受害者設備,進而竊取包多信息,包括密碼和銀行數據。
(圖源:X網站截圖)
據曾在谷歌和加密貨幣以太坊工作的技術開發人員Nick Johnson介紹,騙子們通過谷歌自身的系統實施該攻擊。具體而言,他們利用了名為「谷歌OAuth」的工具,該工具允許第三方應用在用戶授權後訪問其谷歌帳戶。
攻擊者創建一個仿冒谷歌的網址,註冊一個虛假應用,並通過該應用發送郵件。由於郵件來自谷歌系統,因此外觀真實,但實際上是通過隱藏真實來源的服務轉發的。
這些詐騙郵件通常包含一個指向託管在谷歌自家平台sites.google.com上的假冒支持頁面連結,使其更具可信度。一旦用戶點擊連結,將被引導至一個偽裝成谷歌登錄界面的頁面,並被誘導授權權限給騙子的應用。
此類網絡釣魚攻擊所竊取的信息取決於用戶所點擊或下載的內容。在最糟糕的情況下,惡意軟體將用戶設備暴露給黑客,可能導緻密碼被盜、銀行帳戶被訪問,甚至設備被遠程劫持。
為保障安全,Gmail用戶在遵循任何電子郵件指示前,應仔細檢查「收件人」和「發件人」欄位。若顯示為陌生地址,很可能是騙子。網絡安全公司卡巴斯基指出,這類郵件地址常以「我」開頭,如[email protected],看似可疑,但在Gmail中僅顯示「我」,易使用戶誤認為是來自熟人的郵件。
一旦打開郵件,用戶便會看到一份虛假的法律通知,可能因此驚慌採取錯誤操作。
網絡專家呼籲所有谷歌帳戶用戶,切勿點擊郵件中的可疑連結,除非連結來自可信網站;在網上下載文件前務必核實來源。如有疑問,請手動在瀏覽器輸入support.google.com訪問谷歌官方網站,而非點擊郵件內連結。
同時,使用高效的殺毒軟體可在這些網絡釣魚郵件造成危害前進行攔截。
谷歌還提醒其18億用戶檢查安全設置,並建議移除傳統的雙因素身份驗證,改用「密碼匙」技術。
密碼匙是一種無密碼、防釣魚的身份驗證方式,依賴存儲於用戶設備的加密密鑰,並結合生物識別技術(如指紋、面部掃描或PIN碼)進行驗證。微軟等科技公司認為,密碼匙比傳統的雙因素驗證更安全,後者通常是在登錄時向手機或電子郵箱發送一次性代碼。
