隨著 Google 逐步開放使用者變更帳戶的電子郵件地址,資安專家警告,不法分子正利用這項新功能,設計看似真實、實則詐騙的釣魚郵件,透過合法的 Google 系統發送,目的是要完全控制你的 Google 帳戶。
根據資安專家的說法,目前有詐騙電子郵件流傳,聲稱來自 Google,並提及 Gmail 電子郵件地址變更或看似必要的安全確認。這些訊息之所以顯得可信,是因為它透過 Google 系統寄送,寄件者顯示為 Google 常見的電子郵件地址,例如「no-reply@accounts.google.com」。
這樣的電子郵件通常會提及與使用安全有關的操作,例如啟用新的電子郵件地址或確認你的身分。郵件中的連結看似導向 Google 的支援或安全頁面,實際上會被帶到假網站,且要求輸入密碼。
險惡的是,不法分子使用「sites.google.com」網域,這是 Google 提供給使用者建立網站的合法服務,因此比較不會被垃圾郵件過濾器封鎖。假網站被設計成模仿真正的 Google 支援頁面,乍看之下相當逼真。
一旦不法分子成功接管你的 Google 帳戶,後果相當嚴重。不僅 Gmail 及其郵件內容受到影響,所有 Google 相關服務(例如雲端硬碟、相簿、日曆等)形同遭到入侵。此外,若你使用 Google 帳戶登入第三方服務(例如社群網路、網路商店、金融服務等),可能引發連鎖反應,不法分子進一步存取其他帳戶。
資安公司 Check Point Research 早在 2025 年底指出這類攻擊的第一波行動,甚至比 Google 公告新功能更早。不法分子濫用一種自動化工具,透過 Google 的基礎架構發送釣魚郵件。Google 表示自家系統並未遭到入侵,已經採取防護措施。
如果知道該如何注意,許多釣魚郵件仍有機會被識破,常見的可疑訊號如下:
- 使用不具個人化的稱呼,例如開頭寫著「親愛的用戶」,而非你的真實姓名。
- 帶有急迫語氣與威脅內容,例如帳戶即將停用、刪除、或有關金錢的後果。這種急迫感是要嚇唬你,讓你未經思考即採取行動。
- 要求你透過連結輸入密碼或其他個人資料,這些連結往往導向偽裝成官方網站的假頁面,誘使你輸入驗證資料,同時被不法分子攔截下來。
Google 官方建議,切勿點擊電子郵件中的連結,而是直接前往 Google 帳戶中查看安全性警示。做法是開啟瀏覽器,手動前往你的 Google 帳戶頁面,而不是點擊子郵件中的連結。此外,平時應為你的 Google 帳戶啟用兩步驟驗證,即使不法分子知道你的密碼,兩步驟驗證可在多數情況下阻止未授權的帳戶存取。
(首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
