一场针对全球18亿Gmail用户的“极为复杂”的钓鱼攻击正在发生,谷歌官方已紧急发布警告!
这起攻击最早由以太坊开发者Nick Johnson曝光。他在X平台发文称:“最近,我遭遇了一个极其高级的钓鱼攻击,利用了谷歌基础设施至今仍未修复的漏洞,意味着未来可能会有更多人中招”。Johnson晒出了一张截屏,看起来是谷歌官方发的邮件,内容是“你收到了一张关于谷歌帐户的传票”,要求他上传文档并提供帐户访问权限。
唯一的破绽是:邮件中的链接指向的是sites.google.com而不是accounts.google.com,如果不仔细看,是很容易上当的。
点击链接后,Johnson就被引导到了一个画面非常真的门户网站,无论是上传文档还是查看案件,都跳转到几乎一模一样的谷歌页面,并要求输入谷歌账号密码。可一旦输入,账号恐怕会直接失守。
更可怕的是,这封邮件通过了DKIM认证(通常用来验证邮件内容是否被篡改),Gmail系统也没有任何警告提示,甚至还把它自动归类进了安全提醒的类别里。
对此,谷歌发言人表示,“我们已经意识到这一类型的针对性攻击,并采取措施关闭了这个被滥用的渠道。同时,我们鼓励用户开启双重认证和Passkey来进一步提高帐户安全。请大家注意,我们绝不会通过邮件索要你的密码、验证码或推送确认通知。如果遇到此类要求,请提高警惕”。
这一次的黑客手法十分特殊:他们利用Google Sites搭建了假的页面,故意让网址看起来像是真正的google.com域名,从而骗取用户信任。如果你仅使用密码登录Gmail帐户,一旦泄露,黑客就能直接登录你的帐户。而如果使用了Passkey+2FA组合,即使黑客拿到密码也难以突破,因为Passkey绑定的是物理设备,无法被远程盗用。
不过虽然钓鱼手段越来越高级,但仔细观察,还是能发现破绽。比如邮件的内容往往措辞会很紧急,声称有重大问题需要立即处理。会要求点击链接来验证帐户、更新支付信息等。此外,发件人域名和官方地址可能有细微差异。
如果你近期收到了类似“政府或法院传票”的邮件,记得核查。谷歌规定,当接到政府机构的请求时,会通过官方渠道通知用户,绝不会直接发邮件要求你点击链接交出账号。
来源: Dailymail
