近日開 Gmail 檢視郵件要小心,駭客有機會假冒你的親友寄出釣魚郵件,並於郵件內附上相關圖片,彈出需要身份驗證頁面,來欺騙受害者輸入帳號和密碼。
消息指最近出現新型的郵件釣魚手法,駭客假冒熟人寄一封內附縮圖的郵件給 Gmail 用家,而縮圖疑似是寄件人生活相關的圖片,提高收件人的信任度。當收件人打開這張圖片縮圖,便會彈出一個偽造 Gmail 身份驗證的連結頁面,而非預覽附件的圖片,頁面提示收件人輸入帳戶密碼,才能繼續程序。若收件人輸入帳戶密碼的話,資料便會送給駭客,進而操控受害者的 Google 帳戶,發送釣魚郵件給受害者的親友,甚至竄改受害者的 Google 密碼。
重要的是人們看到網址列有 accounts.google.com 字樣,便以為是 Google 的網站,但因駭客使用超長字串的釣魚網站網址,使人們無法檢視完整網址,導致沒留意在開頭或結尾的「data:text/html」等文件的位址字樣,使受害者無法察覺異樣。其實只要留意網址開首是否「https」,或確保網頁旁出現綠色安全鎖頭的圖示,確保有加密協定,而非紅色圖示的不安全網頁,就能分辨了。此外,Google 用家可使用雙重認證來登入,並定期更換密碼,就便提高帳戶的安全了。
來源:Wordfence