詐騙手法層出不窮,Google近日向全球近20億Gmail用戶發出緊急警告,詐騙集團偽裝成官方通知的新型釣魚郵件正快速蔓延,郵件寄件人顯示為「no-reply@accounts.google.com」,內容聲稱帳號遭執法機構調查並要求公開資料,由於外觀與官方通知幾乎一致,許多用戶可能誤信而點擊連結,一旦中招,個資、信用卡資訊,甚至整個帳戶內容都可能被竊取。
據《每日郵報》報導,資安專家指出,這波詐騙郵件偽裝成Google官方訊息,寄件人顯示為「no-reply@accounts.google.com」,以「帳號遭執法機構調查」為由要求公開資料,其手法利用Google OAuth驗證系統漏洞,建立幾乎一模一樣的假網站並註冊第三方應用程式,再藉由該應用程式寄送釣魚郵件。
報導提到,使用者若點信中連結,會被導向仿造的登入頁面,一旦輸入帳密並授權,詐團能全面存取帳戶資料,部分郵件甚至利用Google自家網站服務進行偽裝,增加可信度,使受害者更難分辨。
資安公司卡巴斯基(Kaspersky)調查發現,這些郵件多以「me@」開頭,例如「me@googl-mail-smtp-out-198-142-125-38-prod.net」,收件匣僅顯示「me」,容易讓人誤以為是朋友寄送而降低警覺,提醒此類詐騙常以「執法調查」或「官方傳票」製造恐慌。
Google呼籲所有用戶務必保持警覺,若收到此類可疑郵件應立即刪除,切勿點擊任何連結或回覆訊息,如需確認帳號安全性,務必直接輸入「support.google.com」前往官方網站,而非透過信件中的連結。
此外,Google也鼓勵啟用「通行金鑰(Passkeys)」技術,透過指紋、臉部或PIN碼等生物特徵登入,取代傳統密碼與兩步驟驗證,此舉能有效降低釣魚攻擊成功率,確保帳戶與個資安全。