用 Google Doc 駭上你!透過真正的Google授權系統,欺騙用戶授權給惡意程式 相信不少人曾用過Google Docs分享檔案,但最近如果你看到Gmail信箱中Google Docs的存取邀請通知,可要提高警覺,因為這很有可能是最新的網路詐騙手法。

 

透過真正的Google授權系統,欺騙用戶授權給惡意程式

根據外媒報導,這封最近在網路上流竄的釣魚信中附有Google Docs文件分享連結,連結會將用戶帶往正確且加密的Google網址,並詢問是否同意將Gmail資料授權給Google Docs。蹊蹺之處在於,這個Google Docs是由惡意程式偽裝的,一旦用戶點選同意後,其便可存取信箱所有資料,並將釣魚信自動傳給通訊錄中的所有人。

和其他釣魚信不同的是,過去大多為利用假的Google頁面讓用戶上當、收集密碼,警覺性較高的用戶可從連結網址中發現異狀。然而,這次的惡意程式為透過真正的Google授權系統,讓用戶授權給假的Google Docs應用程式,幾乎很難令人發現這是釣魚信。唯一的線索,只有在點擊Google Docs標題後出現的開發者資訊,發現該應用程式不是由Google開發、而是不知名的第三方人士。

用 Google Doc 駭上你!透過真正的Google授權系統,欺騙用戶授權給惡意程式

 

Google反應快,3小時解決該釣魚攻擊事件

在事件發生後,Google大約3小時後便在Twitter上發出聲明,表示已將違約帳戶停權、移除惡意程式,並將防止類似手段的詐騙事件再次發生。

用 Google Doc 駭上你!透過真正的Google授權系統,欺騙用戶授權給惡意程式

事實上,Google原本就將Google Docs預設為開放存取,用戶若懷疑自己是否遭惡意程式駭入,可至Google帳戶設定中查看,移除可疑程式的存取權限。

資料來源:redditRecodeTechCrunch

用 Google Doc 駭上你!透過真正的Google授權系統,欺騙用戶授權給惡意程式

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則