原标题:骇客钓鱼新花招!骇客假冒好友寄Gmail用户钓鱼信件,出现伪造身份验证页面窃取用户资料
图片来源:Wordfence
资安外挂工具开发团队Wordfence近日发现一种新型态的Gmail钓鱼手法,骇客假冒熟人名义寄发钓鱼信件给Gmail用户,内附一张与钓鱼对象生活相关的缩图图片,若打开这张图片缩图,会跳出一个伪造的Google身分验证页面,而非真的Gmail图片预览功能。骇客再藉此窃取被害者输入到假网页上的Google帐号和密码,进而能完全控制这些受骇Google帐户。
骇客这套新型态的钓鱼手法,目标锁定在Gmail用户。骇客会向Gmail用户发送钓鱼邮件,为了诱骗被害者上钩,不只假冒被害者熟人名义寄信,还会附一张与被害者或是寄信者生活相关的图片,让整个信件看起来就跟其他信件一样,提高被害者的信任度。
当被害者点击附件的图片,就会跳出伪造的Google身分验证网页,而非预览附件图片,提示被害者须输入帐密才能继续执行后续程序。一旦被害者不疑有他输入资料,骇客就能窃取到这些帐密,进而操控被害者的Google帐户。Mark Maunder认为,骇客甚至可以窜改被害者的Google密码,造成被害者无法使用Google其他服务。除此之外,Mark Maunder表示,骇客获得帐户后,还会查阅受害者信件内容,来进一步发送钓鱼邮件给受害者的亲朋好友。例如,若业务人员遭骇,就会让往来客户成为骇客锁定钓鱼的新目标。
该团队成员Mark Maunder在官网上解释,这类钓鱼网站网址通常是超长字串,多以「data:text/html」开头或结尾,因为这类字串并非是正常的网址,而是文件的位址,得检视完整网址才能分辨。另外,Google服务已採Httpsru8 加密协定,所以,正常Google网页,网址旁边会出现绿色锁头图示,若浏览Google网页时,网址旁边出现红色图示,则代表这可能一个不安全的假网页。Mark Maunder也建议,使用者应该定期更换Google帐户的密码,并且使用双因素认证,才能提高帐户的安全性,避免帐号遭盗用。
相关:
曾帮FBI破解iPhone的以色列资安公司也遭骇,偷走900GB机密和用户帐密
Cellebrite生产的UFCD 图片来源: Cellebrite 以色列行动装置资安鉴识公司Cellebrite于近日发现,骇客于本月12日侵入该公司的外部Web伺服器「my.Cellebrite」。骇客在未经授权的状况下窃取了900GB的资料。这些资料包
(优活健康网编辑部/综合整理)“明明猛吃青菜、多喝水,怎么还是大不出来?”“通肠剂、软便剂有效吗?不管啦-干脆拿泻药给我也好!”三天两头老是无法顺利排便,让小珊十分困扰,更别说困在马桶上头,哪都无法去,就
GoDaddy软件臭虫误发近9000个SSL凭证,用户快更新
图片来源: GoDaddy 全球最大的域名注册与网站相关服务供应商GoDaddy,传出因内部软体臭虫问题,误发8850个SSL凭证,该问题已经被修复,但受影响用户需要重新启动新的凭证程序,网站才会恢复正常的加密运作,否则连上
今年4月的Windows 10 Creators Update将提供新的隐私设定介面,代现有的精简设定,展示重要用户隐私设定。 图片来源: Microsoft 微软宣布,代号为Creators Update的下一版Windows 10更新变更用户隐私偏好设定,提供
图片来源: ESEA 电子竞技娱乐协会(E-Sports Entertainment Association,ESEA)在去年12月底遭到骇客入侵,因拒绝支付骇客所提出的赎金,使得骇客于本周日(1/8)对外释出了ESEA的150万名用户资料。根据ESEA的描述,