谷歌文件使用者遭遇複雜的網路釣魚攻擊
如果今天有人邀請你在谷歌文件中編輯一個檔案,不要開啟它——這可能是今天下午迅速傳播的網路釣魚計劃的垃圾郵件。正如Reddit上所詳述的,攻擊會向目標傳送一封來自他們可能認識的人的電子郵件邀請,將他們帶到一個真正的Google登入螢幕,然後要求他們“繼續使用Google Docs”。但這會授予一個名為“Google Docs”的(惡意)第三方web應用的許可權,“這樣釣魚者就可以訪問你的電子郵件和通訊簿。
這和一個非常簡單的電子郵件釣魚方案的關鍵區別在於,這不僅僅是把你帶到一個虛假的谷歌頁面,收集你的密碼-你可以透過檢查頁面的URL來檢測到。它在Google的系統中工作,但是利用了一個事實,即你可以建立一個非Google的web應用程式,並使用一個誤導性的名稱。以下是許可權螢幕的外觀,例如:
但是,如果您檢查開發人員資訊的標題,您將得到以下內容:
以下是從頭到尾的整個過程:
如果您已單擊該連結,則您的帳戶可能已向通訊簿中的聯絡人發送了垃圾郵件。但你可以透過谷歌的“互聯應用和網站”頁面撤銷未來的訪問許可權;它將顯示為“谷歌文件”
我們還不確定這次襲擊的範圍到底有多廣,但包括《邊緣報》在內的多家媒體的記者都收到了垃圾郵件。
在今天下午發表的一份宣告中,谷歌表示,它已採取措施阻止攻擊的蔓延,並從根本上解決問題:
We have taken action to protect users against an email impersonating Google Docs, and have disabled offending accounts,” the company said in a statement. “We’ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.
美國東部時間5月3日下午4:00更新:我們看到有報道稱谷歌已經禁用了這個應用程式,儘管我們仍然不確定它到底傳播了多遠,或者攻擊是否可能透過另一個應用程式繼續。
美國東部時間5月3日下午4:25更新:谷歌也表示正在“調查”這一問題,警告使用者在此期間不要點選連結。
美國東部時間5月3日下午5:17更新:增加了谷歌官方宣告,確認問題已經解決。
- 發表於 2021-05-11 02:02
- 閱讀 ( 45 )
- 分類:網際網路
你可能感興趣的文章
使用此官方擴充套件保護您的google帳戶
...典,這是有充分理由的:這是一個主要的網路安全噩夢,使用者應該非常清楚。看看谷歌提供的這些可怕的事實: ...
破解密碼最常用的8個技巧
...釣魚電子郵件傳送的數十億美元,以各種形式的網際網路使用者在全球各地。 ...
microsoft edge是阻止網路釣魚的最佳瀏覽器
...的方法之一是網路釣魚。也就是說,一個無辜的網際網路使用者被欺騙,在一封電子郵件或一個狡猾的網站上洩露敏感資訊。運用常識有助於抵禦網路釣魚攻擊,但選擇正確的網路瀏覽器也是如此。。。 ...
你需要知道的關於谷歌檔案釣魚騙局的一切
... 根據一份宣告,谷歌估計只有0.1%的Gmail使用者受到這次攻擊的影響。雖然這聽起來很小,但Gmail估計有超過10億使用者,因此這次網路釣魚攻擊可能影響了超過100萬用戶。如果該應用程式被授予訪問您的谷歌帳...
駭客在社交媒體上竊取你身份的7種方式
... 三。安裝惡意軟體並用網路釣魚欺騙使用者 ...
2019年5大網路安全威脅揭曉
...作原理是控制計算機或計算機網路,並透過完全鎖定終端使用者來禁止使用(除非支付了贖金)。透過這樣做,網路攻擊者可以輕鬆地從受害者那裡勒索令人眼花繚亂的金錢。 ...
如何保持安全上網,避免網址欺騙
...固有的重要資料庫,它改變了這個系統。現在,網際網路使用者可以使用各種不同的指令碼註冊網址,包括希臘語、西里爾語和中文,以及含有口音的拉丁字元等等。 ...
工作場所中的證書洩露和內部威脅風險
...人士2020年內幕威脅報告》的結論是,63%的組織認為特權IT使用者是對安全的最大潛在威脅。 ...
遭遇網路釣魚攻擊後該怎麼辦
...識,但實際上您應該更改所有登入資訊。包括電子郵件、使用者名稱、密碼和安全問題。 ...
您應該瞭解的8種網路釣魚攻擊
... 他們不會針對特定的人,通常只向數百萬使用者傳送一般電子郵件,希望一些毫無戒心的受害者點選連結、下載檔案或按照電子郵件中的說明操作。 ...
