最近信息安全专家在Google Gmail侦测到一种非常可怕的网络钓鱼攻击,利用伪造的登录页面让用户在毫无警觉的状态下输入自己的登录信息,在过去几个月攻击事件越来越频繁,甚至波及到其他Email系统,就让我们来瞭解他们的模式以及如何防范吧!
他们通常会假冒成你熟识的人,并寄送附有pdf檔且内容稀松平常的信件给你。
但其实附件是一张做得很像pdf檔的内嵌图片,当点了那张图片之后就会连到假的Google登录页面,厉害的地方就在于这个登录页面不管是字段、字体甚至是slogan都跟真的Google页面一模一样而唯一露出马脚的地方就在它的网址。
正确的网址应该是:"https://accounts.google.com",钓鱼网页的网址则是"data:text/html, https://accounts.google.com",如果在这个页面输入帐号及密码就会马上被对方访问,下一步他们就会读邮箱中过去的信件及附檔来生成像是你自己会打的标题及内容进而攻击你的联络人。
如果是使用Google Chrome,首先可以直接检查网址是否有不正常的地方及网址左边有没有绿色的锁头,但钓鱼站点会创建HTTPS加密的网页,因此也会显示绿色锁头,所以在任何网页要输入重要信息时要再三确认以上两者缺一不可。
正确且安全的网址请参阅下图:
要再进一步保护自己的帐号可以设置两步骤认证,第一步同样是先输入所设置的密码,接着您会收到系统透过短信、语音来电或移动应用程序传送到您手机的验证码。除了输入这组验证码之外,另外一种验证方法是将安全密钥插入计算机的 USB 端口,如此一来就算密码被破解对方仍无法通过第二阶段的验证。
文章来源:Everyone Is Falling For This Frighteningly Effective Gmail Scam
标签: 资安