钓鱼邮件新花招！冒用熟人专骗Gmail用户，看图跳出假验证来窃帐密

资安外挂工具开发团队Wordfence近日发现一种新型态的Gmail钓鱼手法，骇客假冒熟人名义寄发钓鱼信件给Gmail用户，内附一张与钓鱼对象生活相关的缩图图片，若打开这张图片缩图，会跳出一个伪造的Google身分验证页面，而非真的Gmail图片预览功能。骇客再藉此窃取被害者输入到假网页上的Google帐号和密码，进而能完全控制这些受骇Google帐户。

骇客这套新型态的钓鱼手法，目标锁定在Gmail用户。骇客会向Gmail用户发送钓鱼邮件，为了诱骗被害者上钩，不只假冒被害者熟人名义寄信，还会附一张与被害者或是寄信者生活相关的图片，让整个信件看起来就跟其他信件一样，提高被害者的信任度。

当被害者点击附件的图片，就会跳出伪造的Google身分验证网页，而非预览附件图片，提示被害者须输入帐密才能继续执行后续程序。一旦被害者不疑有他输入资料，骇客就能窃取到这些帐密，进而操控被害者的Google帐户。Mark Maunder认为，骇客甚至可以窜改被害者的Google密码，造成被害者无法使用Google其他服务。除此之外，Mark Maunder表示，骇客获得帐户后，还会查阅受害者信件内容，来进一步发送钓鱼邮件给受害者的亲朋好友。例如，若业务人员遭骇，就会让往来客户成为骇客锁定钓鱼的新目标。

该团队成员Mark Maunder在官网上解释，这类钓鱼网站网址通常是超长字串，多以“data:text/html”开头或结尾，因为这类字串并非是正常的网址，而是文件的位址，得检视完整网址才能分辨。另外，Google服务已采Httpsru8 加密协定，所以，正常Google网页，网址旁边会出现绿色锁头图示，若浏览Google网页时，网址旁边出现红色图示，则代表这可能一个不安全的假网页。Mark Maunder也建议，使用者应该定期更换Google帐户的密码，并且使用双因素认证，才能提高帐户的安全性，避免帐号遭盗用。