【大紀元記者殷瑞娜綜合報導】詐騙者正在利用谷歌(Google)系統的漏洞,發送看似來自谷歌的虛假電子郵件。
這種釣魚郵件看似來自「no-reply@google.com」,並通過了網域金鑰識別郵件(DKIM)身分驗證,但真正的寄件者並非谷歌。
這起網絡釣魚詐騙事件,最初是由以太坊域名服務(Ethereum Name Service)的首席開發人員,尼克·約翰遜(Nick Johnson)報告的。
約翰遜於4月16日在X上發文表示:「最近,我遭受了一次極其複雜的網絡釣魚攻擊。」
點擊郵件中的連結,會跳到一個虛假的但令人信服的「支援入口網站」,其中包含與真實谷歌登入頁面完全相同的頁面,旨在誘騙用戶交出他們的登入信息。
「唯一能表明它是釣魚郵件的是,它託管在sites.google.com,而不是accounts.google.com。」約翰遜在X帖子中指出。
sites.google.com是谷歌的免費網站建立平臺,這引起了約翰遜的懷疑。
「據推測,他們會從那裡獲取你的登入資訊,並利用它們來入侵你的帳戶。」約翰遜警告。
更糟的是,這封可疑郵件通過了谷歌的DKIM檢查,這意味著Gmail將其視為普通郵件。
谷歌發言人最近向《每日郵報》發表聲明稱:「我們已獲悉該威脅行為者發起的此類定向攻擊,並已推出保護措施,以杜絕此類濫用行為。與此同時,我們鼓勵用戶採用雙重身份驗證和密鑰,這能夠有效防範此類網絡釣魚活動。」
谷歌表示,他們已經堵住了導致此類詐騙的漏洞,並發布了新的建議,幫助用戶避開類似的郵件陷阱。
發言人強調:「谷歌不會要求您的任何帳戶信息,包括您的密碼、一次性密碼、確認推送通知等,谷歌也不會致電給您。」
網絡釣魚攻擊越來越難以察覺,危險信號包括模糊的問候語、緊急的語氣,以及要求立即採取行動的可點擊連結,尤其是在涉及個人資料或帳戶訪問的情況下。
儘管谷歌確實會發送有關帳戶問題的電子郵件,但這家科技巨頭表示,您在點擊之前務必三思。◇