在什麼都可以雲端分享的現在,由於擁有極好的可攜性與共享性,包含工作資料或個人資訊有時候我們會放在雲端上以便隨時取用與存查,還有人會選擇在雲端上備份自己的電腦資料或相片,於是有不肖人士看準了雲端化開始進行釣魚攻擊,而老大哥 Google 更是首當其衝。
瞄準 Google 雲端服務的釣魚攻擊,使用網路不要掉以輕心
因為雲端化的盛行,有時工作上想要與同事分享的資料或生活中想要與家人分享的照片我們都會放在雲端上再發信分享給對方,在使用 Google 雲端服務時,當他人與你分享雲端資料時可以選擇透過發送郵件通知你,而你收到後也會自然地點下去,這次問題就出在這個信件上,接下來就讓我來告訴你到底這個釣魚陷阱是如何運作。
你將會收到一個如下圖這樣的邀請,表示有人與你共享協作 Google 文件,而且可能會顯示某個聯絡人名單中的對象,當你點擊這個按鈕時,你會被導引到一個真正的 Google 帳號選擇頁面。此時這個 Google 文件要求你選擇你要使用的帳號身分,而它似乎會要求你的多項訪問權限,而真正的 Google 文件實際上並不會向你索要任何權限,一旦你上當,它就會自行開始針對你的聯絡人名單自動發送一樣的釣魚陷阱。
▲它會引導你去選擇想要使用的帳號 (圖片來源)
這個網路騙局並不是小想要獲取你的帳號密碼,而是鎖定你的帳號訪問權限,該攻擊採用迂迴的方式繞過雙重身分驗證與登入警示,由於它的權限太過龐大,攻擊者可能會利用它來獲取你電子郵件中的任何資訊,還能夠主動提出密碼重置來霸佔你的帳號。
▲它會提出要求取得你帳號的權限,包含讀取、傳送、刪除與管理你的信箱,以及管理你的聯絡人 (圖片來源)
目前 Google 表示已經禁用了受感染的帳戶,並且刪除假頁面,通過安全瀏覽推送安全性更新,並鼓勵使用者踴躍回報這類騙局。C 編要再次提醒大家養成良好的網路使用習慣,不要看到按鈕就點、看到連結就連,在與他人共享資料前可以與對方相互知會一聲,收到未經知會的共享通知時也順手問一下對方,這也算是一種守望相助的表現囉!
◎資料來源