電郵詐欺風暴 谷歌迅速撲滅僅不到千分之一用戶受害

一種假冒谷歌文件(Google Docs)形式誘人上鉤的網路釣魚騙局,3日如星火燎原廣泛散播,谷歌發現後立刻採取行動,迅速撲熄燎原之火。

一種假冒谷歌文件(Google Docs)形式誘人上鉤的網路釣魚騙局,3日如星火...
一種假冒谷歌文件(Google Docs)形式誘人上鉤的網路釣魚騙局,3日如星火燎原廣泛散播,谷歌發現後立刻採取行動,迅速撲熄燎原之火。

這項騙局的用意和幕後主使人都還不明。

谷歌說:「我們採取行動保護用戶免於受到假冒谷歌文件的電郵所害,並使從事這種活動的帳戶失去功能。我們刪除偽造的網頁,更新安全瀏覽功能,我們的防止濫用團隊也努力防止這種詐欺活動再度出現。」谷歌安全瀏覽功能會在用戶造訪危險網站時發出警告。

網路安全專家昆汀說,這項騙局結合網路釣魚攻擊和電腦蟲,利用欺騙性質的電郵誘人開門讓惡意軟體侵入他們的傳送信息程式,把惡意軟體散播給其他人。

由已知連絡人確實的地址發送的電郵含有一個連結,宣稱可透過谷歌文件線上服務分享一個檔案。點選這個連結會進入真正的谷歌網路地址,並要求准許使用「谷歌文件」應用程序。

一旦接受要求,這個軟體即得以利用用戶的身分閱讀或傳送電郵,而它立刻把同樣的電郵傳送給每一個連絡人。

昆汀說,這種應用軟體開始迅速傳播才幾個鐘頭,軟體本身及有關的網域名稱即被取消作用。他認為幕後主使者可能想不到軟體會散播得這麼快,也因此很快就被消滅。

谷歌表示他們察覺這項詐欺活動不到一小時就予以遏止,而其Gmail電郵的超過10億用戶只有不到千分之一受到影響。

起初的報導表示這項攻擊可能企圖騙取私人資料,甚至谷歌的登入識別資料,不過谷歌後來斷定雖然用戶的連絡人資料被侵入,可是沒有其他資料流失。

參考資料

https://udn.com/news/story/7088/2444855?from=udn-catelistnews_ch2