無論您在哪裡使用 Gmail,如果您使用 Google 的電子郵件應用程序或網站,網絡安全工程師 Chris Plummer(通過 Forbes) 應該起到警示和警鐘的作用。這一切都始於谷歌上個月推出的複選標記系統。旨在驗證據稱由合法公司和組織發送的電子郵件,Gmail 收件箱中帶有藍色複選標記的電子郵件應該表明您可以安全地打開這封郵件,而不必擔心被騙、被發送垃圾郵件或被黑客入侵。
多虧了一個錯誤,詐騙者可以讓 Gmail 顯示一個藍色複選標記來驗證他們的假電子郵件
前面提到的 Plummer 發現了一種讓壞人有一個藍色複選標記“驗證”他們的釣魚郵件的方法電子郵件。 Plummer 在發現詐騙者冒充 UPS 發送經過驗證的電子郵件後,向 Google 提交了錯誤報告。該電子郵件甚至包含標誌性的 UPS 盾牌圖標。谷歌起初拒絕了 Plummer 的提交,稱它不會修復這個錯誤,因為“這是有意為之的行為”。正如 Plummer 在他的推文中所問的那樣,“騙子如何以這種令人信服的方式冒充@UPS?”
儘管有藍色複選標記和 UPS 盾牌圖標,但這個 Gmail 是一個騙局,並非來自 UPS
但 Google 很快就改變了方向,並向 Plummer 發送了以下內容,“在仔細查看之後看起來我們意識到這確實看起來不像是一般的 SPF 漏洞。因此,我們正在重新打開它,並且相應的團隊正在仔細研究正在發生的事情。對於造成的混亂,我們再次深表歉意,我們理解我們最初的反應可能令人沮喪,非常感謝您敦促我們仔細研究這個問題!我們會及時向您通報我們的評估以及此問題的發展方向。此致,Google 安全團隊。”
Google 現在已將此漏洞設為 P1,這意味著它是最優先的修復程序。但在修復之前,Gmail 用戶需要留意經過驗證的 Gmail,這些 Gmail 不是來自它聲稱來自的公司。一如既往,不要點擊任何鏈接,當然也不要洩露任何信息,例如社會安全號碼、信用卡號碼、到期日期和安全代碼。
修復此 Gmail 錯誤現在是 Google 的 P1 最高優先級任務
如果您在 Gmail 收件箱中收到一封看似重要的電子郵件,並且已通過藍色複選標記進行驗證,請使用您從中獲得的電話號碼致電公司谷歌。不要撥打信中寫的電話號碼。由於這是谷歌現在的一個高優先級修復程序,我們希望在任何人被敲詐之前,該錯誤已被消除。而且很有可能至少有一些用戶會由於今年有超過 18 億活躍的 Gmail 用戶,因此這個騙局損失了一些錢。
這就是壞人如何利用這個漏洞來清理您的銀行帳戶
讓我們看看這會如何欺騙您。假設您收到一封來自 UPS 的電子郵件,其中有一個藍色的複選標記,它說您即將收到一個包裹。這封信可能會說 UPS 需要一些信息來驗證您的身份。有了核實複選標記,您同意回復一些“UPS”說它需要運送您的包裹的個人信息。因此,您將您的生日、社會安全號碼以及您的銀行帳戶和/或信用卡信息發送給他們。您可以想像懷有惡意的人可以用所有這些信息做什麼。
現在大多數公司都不會向您發送帶有鏈接的文本或電子郵件。大多數人不會要求提供我們上面提到的任何信息。即使谷歌確實消除了這個錯誤,一個藍色的複選標記也不會讓你因為洩露個人信息而花費你辛苦賺來的錢而全然不知。騙子竊取您的個人信息、刷爆您的信用卡、清理您的銀行賬戶、劫持您的無線賬戶並將您拒之門外的速度之快令人難以置信。
最好的辦法是保持一個非常謹慎的態度和警惕藍色勾號或沒有藍色勾號!
