数百万Gmail用户可能面临有史以来最复杂的网络钓鱼诈骗风险

该骗局欺骗用户提供他们的Google登录信息,并被认为是如此先进,甚至欺骗了IT专家

假冒的电子邮件可能来自收件人自己的通讯录中的联系人,并使用看起来像PDF文件的图像附件

当您点击附件时,您会被引导至钓鱼页面,伪装成Google登录页面

然后要求用户输入他们的详细信息,允许攻击者筛选他们的消息

还有一个问题是钓鱼页面似乎没有触发Google的HTTPS安全警告

这个骗局是由Wordfence的首席执行官Mark Maunder为WordPress发现的,他承认它甚至愚弄“有经验的技术用户”

Maunder先生在Wordfence上写道:“一旦他们有权访问您的帐户,攻击者也可以完全访问您所有的电子邮件,包括发送和接收的邮件,并且可以下载整个邮件

”现在他们控制了您的电子邮件地址,他们还可以通过使用密码重置机制,包括其他电子邮件账户,您使用的任何SaaS服务以及更多其他服务来危害您使用的各种其他服务

“IT老师还向Hacker News解释了这个骗局如何影响他们的学校系统他写道:“假期休息之前,我们受到了这个艰难的打击

“三名员工和少数学生在两小时内受到了袭击

”这是我见过的最复杂的攻击

“攻击者在获得凭证后立即登录到您的帐户,并使用您的实际附件之一以及您的实际主题行之一,并将其​​发送给联系人列表中的人员

”例如,他们进入一个学生的帐户,通过运动队练习时间表提取附件,生成截图,然后将其与切线相关的主题线配对,并将其发送给运动队的其他成员

“他们正在使用bit.ly来掩盖该地址(在俄罗斯),我们必须在整理邮件系统的几个小时内清理它,Google发言人说:”我们意识到这个问题并继续加强对它的防御

“我们以各种方式帮助用户免受网络钓鱼攻击,包括:基于机器学习的钓鱼邮件检测,安全浏览警告,通知用户电子邮件和浏览器中的危险链接,防止可疑的帐户登录等等

”用户还可以激活两步验证以实现额外的帐户保护

“启用双因素身份验证,并在浏览器位置栏中留意前缀'data:text / html' - 虚假网页的标志

如果您收到来自网站的电子邮件,要求提供个人信息,请不要点击任何链接或提供个人信息,直到您确认其安全为止

当您收到看起来可疑的电子邮件时,请检查地址和发件人姓名是否匹配

team
team
team
team
team
team