Google警告其約20億個Gmail用戶若收到來自稱為「無回覆」電子郵件攻擊no-reply@accounts.google.com的信件，不要點擊內容的連結，應立即刪除。Google表示，該封信件看起來很像官方寄出，稱用戶的Google帳戶遭執法部門傳喚，誘騙用戶點擊連結，藉此竊取個資及信用卡資料。該電子郵件包含指向Google支援頁面的超連接，並包含有關針對法律案件的所有詳細資訊。然而，Google表​​示，這些均為詐騙，是網路詐騙組織為獲取受害者個人資料而變造的。

當Gmail使用者點擊連結並下載、點擊假冒法律相關文件時，就會立即觸發釣魚攻擊。利用這種手法，受害者容易在不知不覺中授予詐騙者對其Google帳戶的存取權限，例如可閱讀電子郵件或存取檔案的權限。在類似狀況之下，下載虛假的Google檔案會將惡意軟體感染至受害者的電子裝置之中，這類惡意軟體可以竊取更多資訊，包括密碼及銀行詳細資訊。

據曾為Google和加密貨幣以太坊工作的技術開發人員Nick Johnson稱，詐騙者透過利用Google自身系統來達成這一目標。具體來說，新式攻擊是利用名為Google OAuth工具，允許第三方應用程式在獲得用戶許可情況下存取Google帳戶。詐騙者則利用這點建立一個與Go​​ogle相似的虛假網址，並設定電子郵件帳戶，向 Google注冊一個虛假應用程式。這虛假應用程式發送的通知電子郵件看似真實，因為發自Google系統，但實際上是透過隱藏騙局的服務轉發給受害者。該詐騙電子郵件會指向虛假Google支援網頁的超連結，而該網頁確託管在Google官方的sites.google.com上，這容易讓受害者容易受害上當。

當Gmail用戶點擊該連結時，攻擊便開始展開。該連結會將受害者引導到一個看似Google官方登入畫面網頁。登入之後，就進入一個仿製Google官方網站支援的虛假網頁，並取得受害者應用程式存取權限。透過下載或點擊虛假法律傳票等文件後，受害者就在不知不覺中就讓詐騙份子存取受害者的帳戶，並允許閱讀受害者電子郵件及存取檔案。（如圖1所示）

圖1: 詐騙電子郵件假裝通知受害者帳戶資訊已被執法部門傳喚，誘騙用戶點擊有害超連結

此類網路釣魚攻擊中可竊取的資訊，會因受害者點擊或下載的內容而異。最差的情況下，下載惡意軟體到電子裝置會讓網路犯罪分子竊取密碼、存取銀行應用程式中的財務記錄，甚至透過遠端鎖定使用者來劫持受害者設備。

Johnson在X上解釋說，用戶所犯的關鍵錯誤是相信電子郵件並點擊超連結。為了確保Gmail安全，使用者在依照任何指示操作之前應仔細檢查電子郵件，並詳查電子郵件標題中的「收件者」和「寄件者」欄位。如果顯示奇怪的電子郵件位址，那就是詐騙電子郵件。

網路安全公司Kaspersky補充道，這些電子郵件位址通常以「me」為開頭。例如，me@googl-mail-smtp-out-198-142-125-38-prod.net。雖然這類位址看似可疑，但眾多Gmail用戶在收件匣中唯一可見的確是「me」，這極可能會讓許多人誤以為該郵件來自熟認識之人。一旦受害者點擊，就會看到一份虛假的法律通知，並讓受害者因害伯而立即點擊郵件。（如圖2所示）

圖2:詐騙電子郵件透過可疑寄件者位址識別通常以「me」開頭

網路專家敦促任何擁有Google帳戶的人不要點擊電子郵件中可疑連結。此外，切勿線上下載資料或檔案，除非該資料來自合法網站上的可信任來源。如在不確定下，可在瀏覽器中輸入 support.google.com 直接造訪Google官方網站，而非點擊電子郵件中的連結。另使用防毒軟體亦可協助在這類電子郵件網路釣魚在造成危害之前將其捕獲。Go​​ogle也警告其18億用戶立即檢查自身的安全設置，先刪除市面上的雙重認證安全措施，先改用密碼，以防遭駭客攻擊。使用金鑰技術是一種無密碼、防網路釣魚的安全技術，它儲存在使用者裝置上的加密金鑰，並使用生物辨識技術（如指紋、臉部掃描或PIN碼）進行身份驗證。Microsoft等科技巨頭認為，金鑰現在比雙重認證更安全，後者通常涉及在登入時向手機或電子郵件發送一次性代碼。

本文參考自：https://www.dailymail.co.uk/sciencetech/article-14732219/Google-issues-warning-1-8b-Gmail-users-dangerous-attack-not-respond-messages.html