收到1封信千萬別點！帳號秒被盜「信用卡密碼外流」，Google警告快刪、很多人都受騙

Google 日前對全球近 20 億名 Gmail 用戶發出資安警示，指出一種新型釣魚攻擊正透過冒用官方信箱「no-reply@accounts.google.com」進行詐騙。該郵件內容聲稱 Google 接獲執法機關要求配合調查，須檢視用戶帳號資料，並附上一個連結，號稱可查詢「法律案件」細節。此舉是為引誘收件者點擊連結並下載惡意檔案或授權第三方應用，導致帳號資料、信用卡資訊等遭竊。

授權第三方應用藏陷阱　仿真Google登入頁誘導操作

根據曾任職 Google 與 Ethereum 的資深開發者 Nick Johnson 說明，詐騙者利用 Google OAuth 第三方應用授權機制作為攻擊手法。他們先建立與 Google 網域極為相似的假網站與應用程式，透過系統自動發信功能，將詐騙信寄出。當使用者點開郵件連結後，會進入一個與 Google 登入頁極度相似的釣魚頁面。一旦使用者輸入帳密並同意授權，詐騙應用程式即取得帳號的有限存取權，能檢視 Gmail、Google Drive、聯絡人等內容，甚至植入惡意程式。

資安公司示警：「me@」假寄件人混淆視聽

資安業者卡巴斯基（Kaspersky）指出，這類詐騙郵件的一大特徵是寄件人地址常以「me@」開頭，例如「me@googl-mail-smtp-out-198-142-125-38-prod.net」，在使用者信箱中只顯示為「me」，容易讓人誤以為是熟人寄送。這種手法透過營造緊急感與官方權威，加強用戶的恐慌反應，使其更容易誤信內容、點擊連結並交出敏感資料。

Google提醒：不主動要求密碼　請立即刪除可疑郵件

Google 強調，公司從不會以電子郵件主動要求用戶提供密碼、帳號資訊或下載文件。若收到此類可疑郵件，應立即刪除，並勿點擊任何連結或開啟附件。建議使用者定期檢查帳號授權清單，移除不熟悉的應用程式，並啟用雙重驗證（2FA）或採用「通行金鑰（Passkeys）」登入方式，以指紋、臉部辨識或 PIN 碼替代傳統密碼，提升整體帳戶安全性。

官方建議：若遇疑似詐騙，直接查詢 support.google.com

若用戶對收到的郵件有疑慮，Google 建議不要回信、不要點擊信中任何連結，而是自行輸入「support.google.com」造訪官方支援頁面查證。此外，也可透過 Google 的安全檢查工具（Google Account Security Checkup）進一步確認帳號是否有異常登入紀錄或可疑授權，及時移除風險來源。

Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got:pic.twitter.com/tScmxj3um6

— nick.eth (@nicksdjohnson)April 16, 2025

資料來源：《每日郵報》 （相關報導： 台灣又出現新詐騙手法！收到訊息「銀行存款全數蒸發」，最近很多人上當錢討不回來 ｜ 更多文章 ）

責任編輯／蔡惠芯