新型Gmail钓鱼攻击连最谨慎的用户都会中招

简介: 本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客

本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客
image

WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。

在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息:

这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶意邮件,发给你的联系人。举个例子:他们登进某学生的账户,抽出一份田径队训练计划的附件,弄个截屏,然后带上稍微相关的主题,发送给该田径队的其他成员。

虽然将你的Gmail账户当成攻击链宿主已经够恐怖的了,更恐怖的是,黑客还能下载并读取你的所有私人邮件,访问与你谷歌账户(或者其他随便什么被黑服务)相关联的其他信息。

想避免遭受此类攻击,你需要注意地址栏中的这些地方:

gmail-phishing-attack-600

如你所见,不仅仅是字符串开头的地方很奇怪,大片空格后面还藏有脚本。不点进去并拉到右边是看不到地址栏中的这个脚本的,但还有其他几个更明显的标志可以查看。

比如,Chrome浏览器中访问Gmail页面时地址栏长这样:

secure-gmail-address-bar-600

看到地址前面的绿色文本和“安全(Secure)”标签了吗?这标志着你访问的是安全的网站,不是上面黑色文本那种不安全的。不是每个网站都能像这样保证安全,但如果你访问的是谷歌登录页面却没有看到这些,你脑海里就要拉响警报了。谷歌最终会修复这个漏洞,但现在,还是多多注意一下,登录时找找地址栏绿色小文本吧。

另外,如果你的谷歌账户(或者其他包含敏感信息的账户)还没有启用双因子身份验证,不妨将之当作警钟,马上设置吧。

原文发布时间为:一月 20, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/22460.html

相关文章
|
Web App开发 安全 Windows
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
127 0
新型恶意软件 FFDorider :以近乎完美的伪装窃取用户个人信息
|
Web App开发 JavaScript 安全
警告:黑客发动在线钓鱼攻击不再依赖电子邮件
  安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。
1184 0
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1084 0
|
安全
Twitter遭黑客入侵33位名人帐户被更改
北京时间1月6日消息,据国外媒体报道,微型博客Twitter日前证实,周一上午发生一起严重黑客入侵事件,包括当选总统巴拉克·奥巴马(Barack Obama)和歌星“小甜甜”布兰妮(Britney Spears)在内的33位名人的Twitter帐号被劫持。
850 0
|
安全 数据安全/隐私保护 Windows
|
安全 PHP 数据安全/隐私保护
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
2671 0
|
安全
调查 | 用户无法识别网络钓鱼攻击
本文讲的是调查 | 用户无法识别网络钓鱼攻击,研究人员发现,电脑用户对于识别恶意软件还算可以,但对于识别网络钓鱼就无能为力了。
1209 0