有在用Gmail用戶要注意!Google近日向全球近20億名Gmail用戶發出重要警告,指出一波新型態的釣魚詐騙攻擊正透過看似來自官方的郵件地址,廣泛散播,該攻擊假冒執法機關名義,聲稱Google收到法院傳票,要求提供用戶帳戶資訊,誘使收件者點擊惡意連結,進而洩漏個資甚至下載惡意程式。
Google警告收到Gmail法院傳票信件不要亂開
根據《每日郵報》報導,這波Gmail詐騙被命名為「無回覆(No-Reply)攻擊」,手法相當精密,使用者收到的電子郵件看似出自Google官方通知,且是利用來自官方偽造郵件地址「no-reply@accounts.google.com」廣泛散播,內文提及「Google已接獲執法機關傳票,需釋出您的帳戶資料」,並附上超連結,誘導使用者進一步操作。
資安開發者Nick Johnson指出,詐騙者利用Google OAuth系統中的某些機制弱點,申請一個偽造的第三方應用程式,然後透過Google服務如sites.google.com建立看似合法的支援頁面,再搭配與Google相似的寄件人地址偽裝,以取得用戶信任。一旦用戶點擊連結並登入,即可能無意間授權該應用程式存取其完整帳戶內容,包括Gmail、Google Drive、聯絡人等敏感資料。
Kaspersky資安研究團隊進一步警告,這些釣魚郵件的寄件人常以「me@googl-mail-smtp-out-XXX」開頭,儘管與Google官方域名僅有一字之差,卻具高度迷惑性,透過技術手段,這些訊息得以規避部分過濾機制,直送收件匣,令用戶防不勝防。
四招避免Gmail遭受釣魚信件攻擊
專家建議,用戶應切記以下三點防範措施:
- 切勿點擊可疑信件中的任何連結或附件。
- 若對信件真實性有所懷疑,應主動在瀏覽器中輸入「
support.google.com」查詢,而非透過信中超連結。 - 安裝具備反釣魚功能的防毒軟體,提高系統主動防禦能力。
Google也呼籲所有Gmail用戶,定期檢查帳戶安全設定,並強烈建議將帳戶驗證方式從傳統的兩步驟驗證轉為通行金鑰(Passkeys)技術,這項新型認證標準無需輸入密碼,而是依賴裝置內建的加密金鑰配合生物辨識技術(如指紋或臉部識別)進行驗證,不僅更便捷,也更難遭釣魚攻擊。
👉 Google密碼金鑰怎麼用?升級Google帳號安全設定到應用全攻略
在AI生成內容、深偽技術愈發普及的當下,Google用戶也務必提高警覺,養成「不點擊、不回覆、不授權」的資安意識,才能有效阻擋詐騙攻擊於未然。
延伸閱讀:
想了解更多Apple資訊、iPhone教學和3C資訊技巧,歡迎追蹤 瘋先生FB粉絲團、 訂閱瘋先生Google新聞、 Telegram、 Instagram以及 訂閱瘋先生YouTube。