那封 Google 电子邮件看起来是真的吗?不要点击 – 这可能是骗局。这是如何判断的
快速阅读: 《ZDNet》消息,复杂网络钓鱼骗局利用谷歌安全漏洞,伪装成合法邮件和网站骗取用户信息。专家提醒警惕催促立即行动的邮件,检查发件人地址,避免点击邮件链接,并通过在线搜索核实邮件真实性以保护自己。
埃托尔·迪亚戈/盖蒂图片
一个复杂的网络钓鱼骗局正在利用谷歌的安全漏洞,诱使人们相信恶意电子邮件和网站是合法的。在Android Authority发现的一系列推文中,开发者尼克·约翰逊解释了他是如何成为网络钓鱼攻击的目标的,该攻击利用了谷歌自身基础设施中的漏洞。
在他的第一篇推文中,约翰逊附上了骗局邮件的截图,声称谷歌收到了传票,要求其提供他的谷歌账户数据副本。此外:
– 点击了网络钓鱼链接?立即采取这7个步骤保护您的账户
邮件内容准确无误;也就是说,它使用了正确的术语,没有拼写错误或蹩脚的英语。该信息本身被认为是有效的,并由谷歌签名。它来自no-reply@google.com,这是一个合法的、公司使用的自动地址。该邮件本身通过了DKIM签名检查,旨在验证消息的真实性。没有其他警告出现,因此看起来完全合法。
点击邮件中的“站点”链接会带你进入一个支持门户,看起来像一个真正的谷歌页面。该页面甚至托管在谷歌站点上,这是一个人们可以创建和运行自己网站的平台。使用这样的平台为骗局增添了合法性,因为人们认为这是真实的。
点击“上传附加文件”或“查看案件”的链接会带你到一个登录界面,看起来也像是来自谷歌的。此时,有一个线索表明这可能是一个骗局。正如约翰逊指出的那样,登录界面托管在谷歌站点上,而不是通常登录的谷歌账户页面。这时约翰逊终止了这个过程。如果他输入了自己的用户名和密码,他认为攻击者可能会窃取他的登录凭证并用来入侵他的谷歌账户。
网络安全公司坦南特(Tanium)的研究主管梅利莎·比斯霍平说:“最近的这次网络钓鱼攻击利用了合法的谷歌功能,发送精心设计的邮件,绕过了一些传统的检查,并利用谷歌站点托管伪造页面和收集凭证。”
比斯霍平解释道:“这封邮件利用了一个OAuth应用结合了一个创造性的DKIM绕过方法,以规避旨在防止此类网络钓鱼尝试的安全措施。” “这种策略特别危险的不仅是技术上的巧妙手法,还在于故意使用受信任的服务来绕过用户和检测工具。”
显然,这个骗局的责任应直接归咎于骗子本身。但谷歌也有责任,因为这个漏洞是由于几个安全漏洞造成的。首先,根据约翰逊的说法,谷歌站点是一个遗留产品,仍然允许任意脚本和嵌入。这一弱点可能允许攻击者向网页添加任意和恶意代码及嵌入对象。
其次,仔细检查邮件后发现,它并非来自谷歌,而是来自privateemail.com地址。这就提出了一个问题:谷歌最初为什么会签署它。
收到骗局邮件后,约翰逊表示他联系了谷歌,提醒他们注意这些漏洞。起初,该公司似乎对他的担忧不屑一顾,声称这一切都是预期的行为。但随后谷歌改变了立场,并表示将修复这些漏洞。
网络安全公司坦南特的研究主管梅利莎·比斯霍平说:“更多的威胁行为者正在故意选择那些有非常正当商业用途的服务,这突显出一个趋势,即随着检测工具变得更强大,对手正在寻找逃避检测的方法,而不仅仅是用昂贵的漏洞来击败它们。” “他们专注于组织在日常工作中使用的工具、站点和功能。通过与正常流量混合,以及典型的收件人不太可能仔细查看像‘google.com’这样可信的域名,威胁行为者在不进行大量投资的情况下就能获得高成功率。”
感谢约翰逊不仅发现了这个骗局并警告了人们,还敦促谷歌解决问题。然而,在修复推出之前,您该如何保护自己免受如此复杂的网络钓鱼攻击?
安全提供商黑鸭(Black Duck)的基础设施安全实践总监托马斯·理查兹提供了以下建议:
– 警惕任何催促立即行动并告知您可能面临负面后果的邮件。这通常是恶意邮件的一个标志。
– 检查“发件人”和“收件人”邮件地址。如果“发件人”域不是实际公司或“收件人”不是您,那么这封邮件很可能是骗局。
– 避免点击邮件中的链接。在约翰逊描述的攻击中,恶意网站托管在一个谷歌域上。然而,谷歌永远不会给您发送法律投诉,然后引导您访问谷歌站点域。如果您有疑问,请不要点击任何链接,而是单独登录您的谷歌账户,看看是否有任何消息或警报等待您。
– 最后,对邮件内容进行在线搜索。这可以告诉您其他人是否将其报告为骗局或收到类似邮件。
通过每日早晨发送到您邮箱的《科技今日》保持领先于安全新闻。
人工智能代理如何帮助黑客窃取您的机密数据——以及如何应对
这个新工具可以让您看到有多少数据在网上暴露——而且它是免费的
一位没有恶意软件编码技能的研究人员如何欺骗AI创建Chrome信息窃取器
那个奇怪的CAPTCHA可能是一个恶意软件陷阱——这里是如何保护自己
人工智能代理如何帮助黑客窃取您的机密数据——以及如何应对
这个新工具可以让您看到有多少数据在网上暴露——而且它是免费的
一位没有恶意软件编码技能的研究人员如何欺骗AI创建Chrome信息窃偷器
那个奇怪的CAPTCHA可能是一个恶意软件陷阱——这里是如何保护自己
(以上内容均由Ai生成)
