全球約20億名Gmail使用者近日收到Google發出的資安警告,指出若收信人收到來自「no-reply@accounts.google.com」的電子郵件,切勿點擊信中任何連結,更不應輸入個人帳密資料,因為這可能是一場仿冒Google名義的詐騙攻擊,企圖盜取個資與信用卡資料。
信件看似官方實為陷阱 冒用執法名義誘導點擊
根據《每日郵報》報導,Google提醒Gmail用戶,近日有一種新的詐騙模式稱作「無回覆」電子郵件攻擊,信件標示寄件者為「no-reply@accounts.google.com」,內容宣稱Google收到執法機關的傳票,要求提供收信人帳戶的全部資料。由於格式與語氣酷似官方通知,極易令人誤信。
使用者若點擊信中的連結,將被導引至一個偽造的Google登入頁面。一旦輸入帳號與密碼,即會啟動惡意應用程式授權機制,詐騙集團得以存取Gmail帳戶資料、密碼、銀行資訊甚至信用卡明細。
利用第三方授權漏洞 專家揭露詐騙手法
資安研究員Nick Johnson在社群平台發文指出,詐騙集團利用Google API機制的弱點,註冊偽造應用程式,藉由獲得的授權向使用者發送信件。信件經由Google的合法發送管道流出,從外觀上幾乎無法辨識真偽。
這類「無回覆電子郵件攻擊」之所以難防,是因其看似從Google內部發出,不僅突破濾信機制,更打中了用戶對官方信件的信任。
Google提醒:不會主動要求提供密碼 可疑信件應立即刪除
Google強調,公司不會透過電子郵件主動索取密碼、帳戶存取權限或其他敏感資訊。使用者若接收到內容涉及執法機關、資料查調或安全警告的可疑信件,務必第一時間刪除,並避免點擊信中任何連結。
若已不慎點擊或授權不明應用程式,建議立刻登入Google帳戶安全中心,檢查並移除可疑應用程式的存取權限。
資安小叮嚀
來信地址非萬能驗證方式:
即便信件來自看似官方的帳號,也可能遭偽造或利用API發送。
慎點連結與附件:
不確定來源的信件內容請勿點擊,避免遭到釣魚或惡意程式攻擊。
啟用雙重驗證:
設定Google兩步驟驗證,可增加帳戶安全性。
定期檢查授權應用程式:
移除長期未使用或來歷不明的第三方存取權限。 (相關報導: 台灣又有新詐騙手法!前同事傳訊「要求做1事」…他曝「LINE帳號、個資全盜走」已很多人上當 | 更多文章 )
