最近資訊安全專家在Google Gmail偵測到一種非常可怕的網路釣魚攻擊,利用偽造的登入頁面讓使用者在毫無警覺的狀態下輸入自己的登入資訊,在過去幾個月攻擊事件越來越頻繁,甚至波及到其他Email系統,就讓我們來瞭解他們的模式以及如何防範吧!
他們通常會假冒成你熟識的人,並寄送附有pdf檔且內容稀鬆平常的信件給你。
但其實附件是一張做得很像pdf檔的內嵌圖片,當點了那張圖片之後就會連到假的Google登入頁面,厲害的地方就在於這個登入頁面不管是欄位、字體甚至是slogan都跟真的Google頁面一模一樣而唯一露出馬腳的地方就在它的網址。
正確的網址應該是:"https://accounts.google.com",釣魚網頁的網址則是"data:text/html, https://accounts.google.com",如果在這個頁面輸入帳號及密碼就會馬上被對方存取,下一步他們就會讀取信箱中過去的信件及附檔來產生像是你自己會打的標題及內容進而攻擊你的聯絡人。
如果是使用Google Chrome,首先可以直接檢查網址是否有不正常的地方及網址左邊有沒有綠色的鎖頭,但釣魚網站會建立HTTPS加密的網頁,因此也會顯示綠色鎖頭,所以在任何網頁要輸入重要資訊時要再三確認以上兩者缺一不可。
正確且安全的網址請參考下圖:
要再進一步保護自己的帳號可以設定兩步驟認證,第一步同樣是先輸入所設定的密碼,接著您會收到系統透過簡訊、語音來電或行動應用程式傳送到您手機的驗證碼。除了輸入這組驗證碼之外,另外一種驗證方法是將安全金鑰插入電腦的 USB 連接埠,如此一來就算密碼被破解對方仍無法通過第二階段的驗證。
文章來源:Everyone Is Falling For This Frighteningly Effective Gmail Scam
標籤: 資安