別亂開 Google 文件連結!冒牌 App 要授權,爆發大規模釣魚災情

如果今天你在信箱收到編輯 Google 文件的邀請連結,最好不要點開。
評論
評論

如果今天你在信箱收到編輯 Google 文件的邀請連結,最好不要點開。台灣時間今天上午左右,在美國最大論壇之一的 Reddit 上已經有大批使用者聲稱收到從某聯絡人發出的 Google Docs 邀請信,點進連結後,它會先帶你到一個真的 Google 登入頁面,接著要求「繼續前往 Google 文件」(Continue to Google Docs)。一但點下按鈕,你就授權給了一個冒名為 Google Docs 的第三方程式,讓惡意程式獲得你的信箱地址和聯絡人資訊。

根據 The Verge,這次手法和普通釣魚信不同的地方在於,過去釣魚詐騙通常只是製作了一個看起來很像的網頁,騙使用者填入密碼,所以只要仔細看一下網址就會發現不對。這一次釣魚卻使用了真正的官方登入頁面,只是偽裝成圖示和名稱與官方 Google 文件一模一樣的第三方 app,騙取你的授權。

如果使用者不小心授權給了這個假冒的 app,它就會透過聯絡清單寄更多釣魚信件給其他人,持續擴散受害範圍。

▲釣魚詐騙的授權畫面,photo credit: Google 授權畫面截圖。

儘管授權頁面乍看一模一樣,網址也看不出問題,不過從作者資訊還是看得出這個 Google Docs 的作者並非 Google 公司。

Google 已經處理了此次案件並對此發出 聲明 ,表示已經關閉了該冒牌 app,更新 Safe Browsing 惡意網址名單,並正在調查受害範圍。Google 安全部門也在想辦法預防類似事件將來再度發生,並鼓勵使用者用 Gmail 舉報功能檢舉可疑的的釣魚信件。

曾經授權給可疑程式的使用者,也可以在 Google 帳號的 管理頁面 終止第三方程式的授權,讓它無法再次存取你的通訊資料,不過已經流出去的資料仍是覆水難收。另外儘管 Google 這次已經中止了一個程式,不過未來難保會出現一樣冒充正常 app 的詐騙釣魚 app,在點下任何連結或授權之前,最好睜大眼睛看看授權內容和開發者等資訊,才是自保的根本。