Google 日前對全球近 20 億名 Gmail 用戶發出資安警示,指出一種新型釣魚攻擊正透過冒用官方信箱「no-reply@accounts.google.com」進行詐騙。該郵件內容聲稱 Google 接獲執法機關要求配合調查,須檢視用戶帳號資料,並附上一個連結,號稱可查詢「法律案件」細節。此舉是為引誘收件者點擊連結並下載惡意檔案或授權第三方應用,導致帳號資料、信用卡資訊等遭竊。
授權第三方應用藏陷阱 仿真Google登入頁誘導操作
根據曾任職 Google 與 Ethereum 的資深開發者 Nick Johnson 說明,詐騙者利用 Google OAuth 第三方應用授權機制作為攻擊手法。他們先建立與 Google 網域極為相似的假網站與應用程式,透過系統自動發信功能,將詐騙信寄出。當使用者點開郵件連結後,會進入一個與 Google 登入頁極度相似的釣魚頁面。一旦使用者輸入帳密並同意授權,詐騙應用程式即取得帳號的有限存取權,能檢視 Gmail、Google Drive、聯絡人等內容,甚至植入惡意程式。
資安公司示警:「me@」假寄件人混淆視聽
資安業者卡巴斯基(Kaspersky)指出,這類詐騙郵件的一大特徵是寄件人地址常以「me@」開頭,例如「me@googl-mail-smtp-out-198-142-125-38-prod.net」,在使用者信箱中只顯示為「me」,容易讓人誤以為是熟人寄送。這種手法透過營造緊急感與官方權威,加強用戶的恐慌反應,使其更容易誤信內容、點擊連結並交出敏感資料。
Google提醒:不主動要求密碼 請立即刪除可疑郵件
Google 強調,公司從不會以電子郵件主動要求用戶提供密碼、帳號資訊或下載文件。若收到此類可疑郵件,應立即刪除,並勿點擊任何連結或開啟附件。建議使用者定期檢查帳號授權清單,移除不熟悉的應用程式,並啟用雙重驗證(2FA)或採用「通行金鑰(Passkeys)」登入方式,以指紋、臉部辨識或 PIN 碼替代傳統密碼,提升整體帳戶安全性。
官方建議:若遇疑似詐騙,直接查詢 support.google.com
若用戶對收到的郵件有疑慮,Google 建議不要回信、不要點擊信中任何連結,而是自行輸入「support.google.com」造訪官方支援頁面查證。此外,也可透過 Google 的安全檢查工具(Google Account Security Checkup)進一步確認帳號是否有異常登入紀錄或可疑授權,及時移除風險來源。
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got:pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson)April 16, 2025
資料來源:《每日郵報》 (相關報導: 台灣又出現新詐騙手法!收到訊息「銀行存款全數蒸發」,最近很多人上當錢討不回來 | 更多文章 )
責任編輯/蔡惠芯
