如果今天你在信箱收到编辑 Google 文件的邀请连结,最好不要点开。今天上午左右,在美国最大论坛之一的 Reddit 上已经有大批使用者声称收到从某联络人发出的Google Docs 邀请信,点进连结后,它会先带你到一个真的Google 登入页面,接着要求「继续前往Google 文件」(Continue to Google Docs)。一但点下按钮,你就授权给了一个冒名为 Google Docs 的第三方程式,让恶意程式获得你的信箱地址和联络人资讯。
根据 The Verge,这次手法和普通钓鱼信不同的地方在于,过去钓鱼诈骗通常只是制作了一个看起来很像的网页,骗使用者填入密码,所以只要仔细看一下网址就会发现不对。这一次钓鱼却使用了真正的官方登入页面,只是伪装成图示和名称与官方 Google 文件一模一样的第三方 app,骗取你的授权。
如果使用者不小心授权给了这个假冒的 app,它就会透过联络清单寄更多钓鱼信件给其他人,持续扩散受害范围。
▲钓鱼诈骗的授权画面,photo credit: Google 授权画面截图。
尽管授权页面乍看一模一样,网址也看不出问题,不过从作者资讯还是看得出这个 Google Docs 的作者并非 Google 公司。
Google 已经处理了此次案件并对此发出 声明 ,表示已经关闭了该冒牌 app,更新 Safe Browsing 恶意网址名单,并正在调查受害范围。 Google 安全部门也在想办法预防类似事件将来再度发生,并鼓励使用者用 Gmail 举报功能检举可疑的的钓鱼信件。
曾经授权给可疑程式的使用者,也可以在 Google 帐号的 管理页面 终止第三方程式的授权,让它无法再次存取你的通讯资料,不过已经流出去的资料仍是覆水难收。另外尽管Google 这次已经中止了一个程式,不过未来难保会出现一样冒充正常app 的诈骗钓鱼app,在点下任何连结或授权之前,最好睁大眼睛看看授权内容和开发者等资讯,才是自保的根本。