駭客發動「高階」網路釣魚攻擊 Google急對18億Gamil用戶發警告

[周刊王CTWANT] 針對近期一起涉及18億名Gmail用戶的「高階」網路釣魚攻擊事件，Google緊急發出安全警告，提醒全球用戶提高防備。這場攻擊的揭露者是加密貨幣平台以太坊（Ethereum）的開發人員強森（Nick Johnson），他於4月16日在X平台上公開說明整起過程，表示攻擊者利用了Google基礎設施中的一項漏洞，且Google至今仍未修補，恐將導致類似事件更加頻繁。

根據《每日郵報》報導指出，強森收到一封看似來自Google的電子郵件，內容稱其帳號遭傳票調查，需交出存取權限。該信不但使用了合法的Google地址發送，還通過了DKIM簽章驗證，這代表該郵件在傳送過程中未被竄改。更具欺騙性的是，這封信被歸類於與Google其他安全警示相同的對話串中，使得Gmail用戶難以察覺異常。

唯一可疑之處，是該釣魚連結實際架設在sites.google.com，而非正牌的accounts.google.com。當強森點擊後，進入一個看似Google「支援入口」的頁面，點選「上傳更多文件」或「查看案件」後，都會被導向與Google官方頁面幾可亂真的登入頁，要求他輸入帳號密碼。

強森警告，若不慎輸入憑證，駭客即可藉此入侵帳號，他本人則在發現異常後立刻中止操作。

Google後續對此事件進行回應，證實這起來自特定威脅行為者攻擊行為的存在，並已啟動封鎖措施。Google發言人表示，Google鼓勵用戶啟用雙重驗證與通行密鑰（passkeys）來提高防禦。Google也重申，官方絕不會主動要求用戶提供密碼、一次性驗證碼或確認推播等帳號憑證，更不會打電話要求提供此類資訊。

這次攻擊的詐騙策略之一，是利用Google Sites製作釣魚網站，假冒官方頁面來取得信任。強森表示，許多用戶只要看到網址中含有「google.com」就會誤以為安全，進而上當。

強森也警告，若使用者僅以密碼登入Gmail帳號，遭竊後幾乎無任何保護機制能阻止駭客入侵。駭客甚至能利用自己的裝置產生雙重驗證碼，繞過安全措施。相較之下，通行密鑰則具備裝置綁定機制，無法被駭客遠端使用。

Google也補充表示，近期已更新教育資源，說明如何辨識詐騙郵件，並強調即便官方會以電子郵件與用戶聯繫，也絕不會要求透過連結更新帳號或付款資訊。多數詐騙郵件會以通用稱呼開頭，並製造緊急情境，引導用戶點擊連結提供資料。

此外，由於這類詐騙常假冒司法或政府機關的傳票，Google在其《隱私權與條款》頁面中也特別說明，若真收到來自政府的要求，公司會先發信通知使用者或其帳號管理員，除非法律明令禁止；一旦禁令解除，Google會補發通知。

因此，若收到要求提供個資或帳號資訊的電郵，用戶應避免直接點擊郵件內連結，而是手動開啟新瀏覽器輸入網址以驗證真偽。

Google再次提醒「每當網站要求你提供個人資訊時，請提高警覺。我們從不主動要求密碼或其他帳號資訊。」

延伸閱讀

• 呂秋遠PO文「老來得子」是喜事 公關女王留言道喜…後悔了：渣中之渣！
• 男友欲送1.5萬元名牌包卻開口要贊助出國旅費 她不解：誠意還是算計？
• 呂秋遠喊「受精卵不是小孩、對它沒感情」音檔曝 他曝引爆點：比渣更難忍受