新型Gmail钓鱼攻击连最谨慎的用户都会中招

本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招，一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客

WordPress安全插件创建者Wordfence称：黑客向被泄账户联系人发送电子邮件，附上看似无害的附件。只要用户点击附件，浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。

在《黑客新闻》网站，一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后，被骗走了自己的账户信息：

这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户，用你账户中真实存在的主题和附件构造恶意邮件，发给你的联系人。举个例子：他们登进某学生的账户，抽出一份田径队训练计划的附件，弄个截屏，然后带上稍微相关的主题，发送给该田径队的其他成员。

虽然将你的Gmail账户当成攻击链宿主已经够恐怖的了，更恐怖的是，黑客还能下载并读取你的所有私人邮件，访问与你谷歌账户(或者其他随便什么被黑服务)相关联的其他信息。

想避免遭受此类攻击，你需要注意地址栏中的这些地方：

gmail-phishing-attack-600

如你所见，不仅仅是字符串开头的地方很奇怪，大片空格后面还藏有脚本。不点进去并拉到右边是看不到地址栏中的这个脚本的，但还有其他几个更明显的标志可以查看。

比如，Chrome浏览器中访问Gmail页面时地址栏长这样：

secure-gmail-address-bar-600

看到地址前面的绿色文本和“安全(Secure)”标签了吗？这标志着你访问的是安全的网站，不是上面黑色文本那种不安全的。不是每个网站都能像这样保证安全，但如果你访问的是谷歌登录页面却没有看到这些，你脑海里就要拉响警报了。谷歌最终会修复这个漏洞，但现在，还是多多注意一下，登录时找找地址栏绿色小文本吧。

另外，如果你的谷歌账户(或者其他包含敏感信息的账户)还没有启用双因子身份验证，不妨将之当作警钟，马上设置吧。

原文发布时间为：一月 20, 2017
本文作者：nana
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛
原文链接：http://www.aqniu.com/threat-alert/22460.html