01
全球18億Gmail使用者警報!駭客發起“零破綻”釣魚攻擊
點選下方公眾號
檢視更多本地新聞
(新聞報道截圖)
一場針對全球18億Gmail使用者的“高度複雜”釣魚攻擊正在肆虐!谷歌官方緊急釋出安全警告,稱駭客利用谷歌基礎設施漏洞,偽造官方郵件與登入頁面,已有多名使用者險些中招。
據受害者曬出的截圖顯示,該釣魚攻擊是一封看似來自谷歌官方的郵件,稱收到一張谷歌賬戶傳票,要求上傳檔案並提供賬戶訪問許可權。
其中,致命陷阱在於:郵件中的連結指向sites.google.com而非官方域名accounts.google.com,普通使用者稍不留意便會中招。
點選連結後,使用者會被引導至一個高度模擬的“谷歌門戶”:無論是上傳檔案還是檢視案件,頁面均與真實谷歌介面無異,並強制要求輸入賬號密碼。一旦輸入,賬戶將立即淪陷。
更令人震驚的是,這封釣魚郵件通過了DKIM認證(用於驗證郵件真實性的加密技術),且Gmail系統未發出任何警告,甚至將其自動歸類為“安全提醒”。這意味著,使用者可能在毫無防備的情況下洩露敏感資訊。
谷歌發言人對此回應:
“我們已識別並關閉了被濫用的攻擊渠道,強烈建議使用者開啟雙重認證(2FA)和Passkey(物理金鑰)以提升賬戶安全。谷歌絕不會透過郵件索要密碼、驗證碼或推送確認通知,收到此類要求請立即警惕。”
攻擊者利用Google Sites(谷歌免費網頁託管服務)搭建虛假頁面,透過URL偽裝技術(如sites.google.com)騙取使用者信任。
若使用者僅使用密碼登入Gmail,一旦洩露,駭客可直接接管賬戶。而若啟用Passkey+2FA組合,則可有效抵禦此類攻擊——因Passkey繫結物理裝置,無法被遠端盜用。
儘管攻擊手法升級,但仍有破綻可循!教你三招識破釣魚郵件
緊急措辭:郵件常以“賬戶凍結”“法律傳票”等緊急事由施壓;
異常連結:點選前仔細核對域名(如sites.google.com非官方地址);
發件人異常:官方郵件地址通常為@google.com,而非類似域名。
谷歌重申,如果遇到此類事情,政府機構會請求將透過官方渠道通知,絕不會直接發郵件要求點選連結!
釣魚攻擊已進入“零破綻”時代,使用者需養成雙重驗證習慣,並定期檢查賬戶活動記錄。