魚餌越來越「精實」,Google Docs / Drive 服務使用者請多加提防

魚餌越來越「精實」,Google Docs / Drive 服務使用者請多加提防

圖片引用來源Symantec原文引用來源ArsTechnica

相信各位都有收到過釣魚信件的經驗,不過只要稍加留意,上當的機率應該是微乎其微,但是最近釣魚手法越來越高明,甚至還將釣魚網頁偽裝成 Google Drive 服務的登入頁面。

這項日前由 Symantec 公佈的手法,主要是透過寄送一封標題為「Documents」的郵件給使用者,隨後內文則建議使用者立刻到 Google Docs 上瀏覽一份相當重要的文件云云,聽起來基本上就是一千零一招,不過好戲在後頭;如果使用者一時暈眩,不小心真的點了進去看,就會被導引到上圖的登入頁面,這頁面除了精緻的模仿了 Google 服務頁面外,更是直接架在被駭的 Google 伺服器中,同時也可以在上頭看到 Google 的 SSL 憑證資訊。

該釣魚手法背後的小釣手先在 Google Drive 裡頭建立一個資料夾,然後上傳一份文件並設為公開,隨後透過 Google Drive 的預覽功能取得公開網址並放到郵件中;使用者點擊郵件中的連結,就會被轉到 Google Drive 的偽.登入頁面,萬一又是一陣暈眩,手滑輸入個人帳密碼並按下「登入」後,該網頁隨即將帳密資訊透過 PHP 程式碼傳送到到釣手手中,然後該頁面則會轉到上述的 Google 文件,也讓使用者以為什麼都沒有發生,但實際上已經悲劇了。

而為了防止這樣的狀況發生,使用者除了多加注意來路不明的信件,盡可能將其直接砍掉或是標記為 Spam 外,也可以設定「兩步驟驗證」,設定完成後,任何初次用來登入 Google 帳號的電腦、手持裝置都必須在輸入帳密後,另外輸入一組傳送到簡訊或語音來電通知的的單次使用六位數認證碼,這樣一來,至少對於上面這樣的手法應該能有相當的防護。

當然大部分使用者平時應該都很注意,不過這樣的防護觀念,對於較少使用電腦或電腦操作比較不熟稔的家中其他成員來說,可得好好跟他們提醒,或直接協助他們處理兩步驟驗證等額外的安全機制。

相關閱讀