新型Gmail钓鱼攻击连最谨慎的用户都会中招

酷站 作者:HackerEye 2017-01-21 03:45:57
一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客 WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。 在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息: 这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶意邮件,发给你的联系人。举个例子:他们登进某学生的账户,抽出一份田径队训练计划的附件,弄个截屏,然后带上稍微相关的主题,发送给该田径队的其他成员。 虽然将你的Gmail账户当成攻击链宿主已经够恐怖的了,更恐怖的是,黑客还能下载并读取你的所有私人邮件,访问与你谷歌账户(或者其他随便什么被黑服务)相关联的其他信息。 想避免遭受此类攻击,你需要注意地址栏中的这些地方: 如你所见,不仅仅是字符串开头的地方很奇怪,大片空格后面还藏有脚本。不点进去并拉到右边是看不到地址栏中的这个脚本的,但还有其他几个更明显的标志可以查看。 比如,Chrome浏览器中访问Gmail页面时地址栏长这样: 看到地址前面的绿色文本和“安全(Secure)”标签了吗?这标志着你访问的是安全的网站,不是上面黑色文本那种不安全的。不是每个网站都能像这样保证安全,但如果你访问的是谷歌登录页面却没有看到这些,你脑海里就要拉响警报了。谷歌最终会修复这个漏洞,但现在,还是多多注意一下,登录时找找地址栏绿色小文本吧。 另外,如果你的谷歌账户(或者其他包含敏感信息的账户)还没有启用双因子身份验证,不妨将之当作警钟,马上设置吧。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接