每經編輯|每經記者 孫宇婷
每經記者 孫宇婷
據外媒報道,通過一種最新的釣魚騙局����,黑客正將目標對準谷歌用戶的密碼��,和過去的釣魚攻擊比起來,最新的方式更難被檢測及攔截���。
知名安全軟件公司Bitdefender專家比恩卡·史坦艾斯庫表示,“我們此前沒有發現過此類網絡釣魚式攻擊��。它是加強版的����,通常安全解決方案會在用戶打開網頁前阻止惡意活動,但這次�,安全解決方案接收到編碼內容�,卻不能有效阻止�。”
昨日(5月14日)���,金山安全專家李鐵軍在接受《每日經濟新聞》記者采訪時表示,Chrome瀏覽器的確存在安全漏洞�����,谷歌方面需要打個補?��?���;從用戶角度看�����,使用身份雙重驗證�,同時安全軟件也需要相應升級���,才能有效避免遭遇釣魚����。
針對上述安全風險�,記者昨日通過郵件和電話聯系谷歌公關相關人士����,但截至發稿時未收到回復。
釣魚騙局是這樣的:谷歌用戶會收到一封電子郵件����,聲稱是由谷歌發送的�,以“郵件通知”或“注意通知”為主題���。郵件里寫道:“這是一個提醒�����,由于無法增加郵箱儲量���,你的郵件將在24小時內被鎖定�。請前往INSTANTINCREASE自動增加你的郵箱容量�?��!本o隨這段文字之后�,出現了帶有超鏈接的“INSTANTINCREASE”,用戶一旦點擊這個鏈接,將被重新定向到一個虛假的谷歌用戶登錄頁面���,并提示他們輸入認證信息。在接收到上述信息后,黑客們不僅可以入侵受害者的電子郵件�,甚至可以進入用戶所有的谷歌文檔��、GooglePlay,Google+。
據Bitdefender安全專家透露,這個攻擊的特殊之處在于����,它不僅使得具有合法性的郵件出現 (發郵件方為谷歌公司)��,而且網絡釣魚攻擊的結構也很值得推敲。此次攻擊是基于統一資源標識符(URI),這是組成URL字符的子集。
李鐵軍表示,“研發團隊證實是個漏洞,但風險有限,由于地址欄顯示的不是‘http:/’的URL,目前的反釣魚系統不會攔截。”
當記者詢問是否將針對“data:/”的補丁打上就可防范此類風險時����,李鐵軍表示�,“可以設置一個規則阻止此類型跳轉”���,并認為谷歌應該會解決這一問題����。
李鐵軍指出,如果用戶比較重視安全的話���,應該盡可能使用雙重驗證,而安全軟件也需要通過升級來解決上述問題。
