釣魚新招,惡意程式偽造 Google Docs 駭入信箱!

Google 近日面臨資安危機,駭客利用「假」的 Google Docs 取得使用者的授權並獲得聯絡人資訊,雖然 Google 已經緊急關閉、更新惡意網址名單,但為了要讓使用者更放心,Google 聲明表示這次受影響的使用者不到 0.1%,Google 目前以針對第三方認證設下更多限制,同時調整垃圾信過濾阻擋釣魚信,最重要的是更緊密監控需要個資權限的應用程式。

這次事件是從 5 月 3 日開始,美國論壇 Reddit 大批使用者收到某位聯絡人寄出的 Google Docs 邀請信,不設防的使用者進入連結後,首先會進入真正的 Google 登入頁面,登入後,畫面轉成「『繼續前往 Google 文件』(Continue to Google Docs)」,只要按下 Allow 允許就會授權偽造的 Google Docs 第三方程式取得使用者的 Email 和聯絡人…等資訊,造成個資外洩;而這起事件也可以簡稱成「Google Docs 釣魚事件」。

這次釣魚網頁之所以能取信於使用者點擊,主因是這次釣魚手法採用 Google 官方登入網頁,只是登入後偽裝成和 Google Docs 一模一樣的要求授權選項,只是如果眼睛夠尖,仍可發現這個偽裝網頁的 Google Docs 的製作者不是 Google 公司。

針對這次事件,Google 當下緊急處理,關閉這個偽造的應用程式、更新惡意網址名單,也請使用者愛用 Gmail 檢舉功能告訴 Google 可疑釣魚信件,並且 Google 也對外公布目前受影響的使用者約 0.1%,這比例看是不多,但換算 Gmail 使用人數卻相當可觀,對 Google 也是形象受損。

這也難怪 Google 再次強化這起事件被利用的部份,在第三方認證使用設下更多的限制、增強垃圾信過濾功能、更緊密監控要求個資權限的應用程式。

但如果你懷疑自己被影響的話,可以先進入 Google 帳號設定頁終止第三方程式的授權,至於是流出的資料就只能放水流了,未來當你看到要求授權網頁或是 Email 有不明連結時,一定要了解授權內容與開發者資訊,最好別亂點不清楚的連結,才能保障個人資料安全。

相關文章,請參考:

圖片及資料來源:The VergeFortuneForbes

Related Posts Plugin for WordPress, Blogger...

  • 大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。