Google日前向全球將近18億Gmail用戶示警,表示近日出現一種極具誤導性的詐騙網址,該網址會偽裝成官方郵件來誘導用戶點擊,進而洩露其帳號密碼、個資等資訊;對此資安專家分析Google系統漏洞,並建議以下方式來避免被詐騙。
詐騙者會建立一個與Google官方相似的虛假網址,「no-reply@accounts.google.com」,甚至通過Google的驗證機制,可以躲過垃圾郵件過濾器,出現在使用者的收件匣中;而該詐騙信件稱Google收到法院傳票,要求提供使用者帳號內容,並附上連結,引導使用者前往一個外觀與Google支援頁面相似的網站。
根據《每日郵報》報導,該相似的網站就是釣魚網站,駭客可以取得使用者的帳號存取權,讓使用者無法正常開啟信件、存取檔案,或個人資料、帳號密碼都會被竊取;資安專家尼克.約翰遜Nick Johnson指出,這類攻擊利用了Google OAuth的系統漏洞,讓使用者輕易上當、誤認官方郵件,因此他呼籲使用者應留意寄件者郵件是否出現奇怪的地址、建議啟用兩步驟驗證或使用Passkey增強帳號安全,若收到可疑郵件,可使用Gmail回報功能通知Google 。
