关注我们的 WhatsApp 频道, TikTok 与 Instagram 以观看最新的短视频 - 开箱,测评与第一手新闻资讯。
Google 日前发出一则重要资安警示,提醒全球 Gmail 用户留意一种新型钓鱼诈骗邮件。这波攻击正以惊人速度蔓延,甚至连资安专家都警告:一旦不慎点开,使用者的 Gmail 帐户、个人资料、信用卡资讯,甚至整组 Google 服务都可能落入他人手中!
这类钓鱼邮件最具欺骗性的地方在于它伪装成来自 Google 官方账号,如[email protected],并在邮件中声称用户的 Google 帐户“遭执法单位调查”,要求“立即配合调查并公开帐户内容”,用制造恐慌的方式诱骗用户点击邮件中的恶意连结。
根据资安专家 Nick Johnson 的分析,这场攻击手法高度复杂,透过滥用 Google OAuth 授权系统的机制来发动。攻击者首先建立一个几乎和 Google 一模一样的仿冒网站,再注册一个具备 OAuth 权限的第三方应用程式,藉此合法发送邮件。一旦用户点击邮件中的链接,就会被导向这个“钓鱼版”的登入页,若不慎输入帐号密码并授权,攻击者即可取得用户完整权限,包括:
- Gmail 信件内容
- Google 云端硬盘档案
- 联系人名单
- Calendar 记录等所有敏感信息
这类钓鱼邮件还常使用看似“朋友寄来”的发件人,例如”[email protected]“,只在收件者界面显示「me」,让人误以为是熟人寄来,大幅降低警觉心。这种“社交工程+技术伪装”的组合攻击,让不少用户防不胜防。
为了防堵类似攻击,Google 提出以下几项防范措施:
- 千万不要点击来路不明的连结或授权第三方 App,特别是以“调查”、“账号异常”为由的邮件。
- 立即启用 Google Passkeys 功能:取代传统密码登录机制,使用生物辨识(指纹、脸部)或 PIN 码进行身份验证,有效防止账号被钓鱼网站盗用。
- 定期检查账号安全状态:前往 Google 官方支援页面,执行“安全性检查”(Security Checkup),确认授权应用、登录设备、密码强度等项目。
- 开启 2 步验证(2FA):为每次登录增加一道安全锁,提升整体账号防御力。
小提醒:Google 不会以电子邮件要求你“提供账户数据”或“配合调查”
如果你收到任何声称“执法单位介入”、“需公开信息”的邮件,请立即删除,并通报 Google 官方。这类诈骗以假乱真,目的就是骗取你的信任与数据。
更多科技资讯,请继续守住 TechNave 中文版!
【资料来源】
大家来评论
