網路釣魚郵件詐騙又有新手法!資安專家發現,有駭客會寄送附有假的Google文件分享連結的信件,一旦點擊,會將用戶傳送至假的Google官方頁面,要求用戶登錄,藉機騙取帳號和密碼。
美國電子郵件安全公司Avanan表示,旗下資安研究人員近日發現一個漏洞,可讓駭客藉機將用戶導向惡意釣魚網站。
首先,駭客寄出一封附有Google文件分享連結的信件,當用戶為了查看內容而點擊網址時,就會被導入駭客精心製作的假Google網站。為了取得文件,網站會要求用戶進行登錄,駭客即可獲知用戶的帳號和密碼。
資安人員指出,這種做法可繞過電子郵件的安全防護機制,之前僅在小型品牌如第三方發信服務MailGun、線上電子書製作平台FlipSnack上見過,出現在Google Drive/Docs這種主流服務上還是第一次。
專家建議,通常透過電子郵件發送的正常Google文件分享連結,不會要求用戶在查看內容前必須先下載文件,若用戶無法確認寄件人身份,最好也別輕易點擊網址與下載檔案。