新型Gmail钓鱼攻击连最谨慎的用户都会中招

简介: 本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客

本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客
image

WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。

在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息:

这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶意邮件,发给你的联系人。举个例子:他们登进某学生的账户,抽出一份田径队训练计划的附件,弄个截屏,然后带上稍微相关的主题,发送给该田径队的其他成员。

虽然将你的Gmail账户当成攻击链宿主已经够恐怖的了,更恐怖的是,黑客还能下载并读取你的所有私人邮件,访问与你谷歌账户(或者其他随便什么被黑服务)相关联的其他信息。

想避免遭受此类攻击,你需要注意地址栏中的这些地方:

gmail-phishing-attack-600

如你所见,不仅仅是字符串开头的地方很奇怪,大片空格后面还藏有脚本。不点进去并拉到右边是看不到地址栏中的这个脚本的,但还有其他几个更明显的标志可以查看。

比如,Chrome浏览器中访问Gmail页面时地址栏长这样:

secure-gmail-address-bar-600

看到地址前面的绿色文本和“安全(Secure)”标签了吗?这标志着你访问的是安全的网站,不是上面黑色文本那种不安全的。不是每个网站都能像这样保证安全,但如果你访问的是谷歌登录页面却没有看到这些,你脑海里就要拉响警报了。谷歌最终会修复这个漏洞,但现在,还是多多注意一下,登录时找找地址栏绿色小文本吧。

另外,如果你的谷歌账户(或者其他包含敏感信息的账户)还没有启用双因子身份验证,不妨将之当作警钟,马上设置吧。

原文发布时间为:一月 20, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/22460.html

相关文章
|
Web App开发 安全 Windows
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
130 0
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
|
云安全 安全 网络安全
扬言春节发起攻击的匿名者真的开攻了,防不胜防的安全威胁如何应对?
2019年1月24日,黑客组织匿名者在社交媒体上对外发表声明,将于2019年2月13日针对我国政府网站采取攻击。 在监测到相关信息后,阿里云安全团队立即启动了重大安全事件应急响应流程,为目前在阿里云上和不在阿里云上的多个目标单位提供了包含DDoS高防IP、Web应用防火墙产品和7*24小时安全专家服务的保障方案,进行应急响应支持,且多家单位在2月13日前完成了针对本次事件的安全应急方案部署。
1376 0
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1084 0
|
安全
Twitter遭黑客入侵33位名人帐户被更改
北京时间1月6日消息,据国外媒体报道,微型博客Twitter日前证实,周一上午发生一起严重黑客入侵事件,包括当选总统巴拉克·奥巴马(Barack Obama)和歌星“小甜甜”布兰妮(Britney Spears)在内的33位名人的Twitter帐号被劫持。
852 0
|
Web App开发 JavaScript 安全
警告:黑客发动在线钓鱼攻击不再依赖电子邮件
  安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。
1184 0
|
安全 PHP 数据安全/隐私保护
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
2674 0
|
安全
调查 | 用户无法识别网络钓鱼攻击
本文讲的是调查 | 用户无法识别网络钓鱼攻击,研究人员发现,电脑用户对于识别恶意软件还算可以,但对于识别网络钓鱼就无能为力了。
1211 0
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1129 0