紧急警报！Gmail用户速看！新型钓鱼骗局席卷全球18亿账户，中招后只有7天自救时间...

【本文译自Daily Mail仅代表原出处和原作者观点，仅作阅读参考，不代表本平台态度和立场】

最近几个月，Gmail用户遭遇了大量的网络钓鱼诈骗--谷歌表示，如果你上当了，也不要惊慌。

该技术巨头表示，即使你被这些盗取密码的骗局锁定了账户，你仍然可以在长达一周的时间内重新获得访问权。

谷歌表示，所有用户需要做的就是确保他们的账户中设置了恢复电话号码或电子邮件，这将允许他们回答安全问题并验证自己的身份。

就在谷歌发布这一公益声明的几周前，谷歌证实了一起针对其18亿Gmail用户的“复杂”攻击。

加密货币平台Ethereum的开发者Nick Johnson首先报告了这一网络钓鱼骗局。

Johnson分享了一份看似来自合法谷歌地址的电子邮件截图，声称他收到了传票，需要放弃对其账户的访问。

谷歌发言人告诉DailyMail.com：“我们已经意识到这种威胁行为者的有针对性攻击，并已推出保护措施来阻止这种滥用途径。”

同时，我们鼓励用户采用双重身份验证和密码，这可以有效防范此类网络钓鱼活动。

Johnson说，点击电子邮件中的欺诈链接后，他进入了一个“非常有说服力的”支持门户页面。

然后他点击了“上传附加文件”和“查看案例”，这两个链接将他带到了合法Google页面的“精确副本”。

这些页面要求Johnson登录他的谷歌账户。

他解释说：“据推测，他们会从那里获取你的登录凭据，并利用这些凭据入侵你的账户；我还没有进一步核实。”

他指出，这封邪恶的电子邮件通过了DKIM签名检查，该检查用于验证电子邮件的某些部分在发送到收件箱的途中没有被篡改，而且Gmail在显示它时没有发出任何警告。

他补充说：“它甚至把它和其他合法的安全警报放在了一起。”

谷歌表示，它已经关闭了允许这种攻击方式工作的机制，并在最近分享了发现和避免电子邮件诈骗的指南。

这家科技巨头说：“谷歌不会要求你提供任何账户凭证，包括密码、一次性密码、确认推送通知等，谷歌也不会给你打电话。”

此类钓鱼攻击旨在诱骗用户向黑客透露个人信息，从而窃取受害者身份或钱财。

诈骗者会精心伪装信息，使其看起来尽可能真实可信，让用户误以为自己在向正规机构提供信息。

“这正是此次Gmail钓鱼攻击的策划者选择使用Google Sites搭建骗局的原因，”Johnson解释道，“因为他们知道，当人们看到域名是http://google.com时，就会下意识认为这是合法链接。”

“如果你使用密码登录Gmail账户，却不慎将密码泄露给黑客，对方就能轻易入侵你的账户。他们只需要在自己的设备上输入你的密码和双重验证码就能登录。”

但使用通行密钥配合双重验证，就能大幅提高黑客入侵的难度。通行密钥是由系统生成的高安全性登录代码，很难被猜中、窃取或通过钓鱼手段获取。它只能在绑定的物理设备上使用，这意味着黑客无法在其他设备上利用它访问你的账户。

除了用通行密钥替代密码外，学会识别钓鱼攻击的特征也能保护你的网络账户安全。尽管这些骗局越来越难以辨别，但某些细节还是会暴露它们的真面目。

钓鱼信息通常具有以下特征：使用笼统的称呼，告知你存在必须立即处理的紧急问题，并诱导你点击链接。虽然像谷歌这样的正规公司会通过电子邮件与用户沟通，但他们绝不会发送链接让你更新登录信息或支付资料。

编译：Jayne
原文链接：
https://www.dailymail.co.uk/sciencetech/article-14679581/warning-gmail-users-password-hack-seven-days-act.html