(华盛顿7日讯)Gmail用户近几个月频繁遭遇网络钓鱼诈骗攻击。对此,谷歌强调,即便账户不幸被入侵,只要用户事先设置了恢复电话或电子邮件,仍有长达一周的时间可以重新取回账号访问权限。同时,谷歌呼吁用户尽快启用双重验证和“通行密钥”(Passkey),以加强账户安全防护。
据《每日邮报》报道,这波钓鱼攻击最早由加密货币平台Ethereum的开发人员尼克·约翰逊(Nick Johnson)揭露。他收到一封看似来自谷歌的邮件,声称由于接获传票,他需放弃账号访问权。邮件中附有链接,点击后会跳转到一个伪造的谷歌支持页面,诱导用户输入账号和密码,从而盗取登录凭证。
更具欺骗性的是,这封钓鱼邮件不仅通过了DKIM邮件验证(DomainKeys Identified Mail,一种防止伪造邮件的机制),甚至被Gmail系统误判为正常邮件,与真正的谷歌官方提示混在同一邮件对话串中,进一步降低用户的警觉心。伪造页面几乎完整复制了谷歌官网的设计,增强了其可信度。
谷歌随后证实这起有针对性的攻击事件,并表示已关闭相关攻击机制,同时发布了防范网络钓鱼的指南。官方重申,谷歌绝不会通过邮件索取密码或一次性验证码,也不会以电话方式要求提供登录信息。
安全专家提醒用户,应警惕那些以“紧急情况”为由,要求点击链接的邮件,并学会辨识可疑信息的特征。此外,使用“通行密钥”功能,在实体设备上完成身分验证,能够有效防止登录凭证被盗,是对抗此类诈骗的有效手段。
新闻来源:ETtoday
