駭客利用官方E-Mail騙個資 YouTube警告新騙局
編譯/鄭智懷
網路詐騙日益猖獗,手法也日新月異。YouTube於近日警告,詐騙者多次運用由官方E-Mail地址─no-reply@youtube.com發送釣魚信件,引誘受害者點擊其中的惡意連接,盜走YouTube等個人帳戶。
稍早發現並向YouTube通報本次網路釣魚手法的社群媒體創作者Kevin Breeze在Twitter上發文表示,這並非詐騙性電子郵件,而是對影片共享系統的濫用。換言之,詐騙者是利用YouTube的共享系統寄出這些惡意電子郵件。
據網路媒體《Hackread》報導,此次運用YouTube官方E-Mail地址寄出的釣魚郵件與傳統的手法類似,內含一段YouTube影片和告知用戶官方新政策的訊息。最關鍵的詐騙陷阱是在信件中附上的Google Drive連接,並說明用戶需要在七天內透過該連接回復相關問題,否則名下YouTube帳戶會被關閉。
假使用戶真的按照信件要求點開連接並輸入指定訊息,名下YouTube帳戶就會被詐騙犯劫持而無法登入。更麻煩的是許多YouTube通常是透過Gmail 帳戶登入YouTube帳戶,詐騙犯在劫持後者的同時,也會一併盜取前者的所有資料。
對此,資安公司EMEA 負責人Vonny Gamot表示,即使寄出電子郵件的地址看似合法,但是否為詐騙仍有跡可循,例如在本起騙局中的七天倒數就是經典的詐騙策略。犯罪者提供時限的目的就是為了進一步提高受害者的心理壓力,讓人們在尚未實施詳盡的檢查就付諸行動,因而上當。
Vonny Gamot指出,最直接的檢查方式是將滑鼠游標移動到連接上─但切勿點擊,檢視顯現的網站地址以「HTTPS」開頭,而非「HTTP」。其中的關鍵在於前者的「S」代表「安全」(security)的意思,意味著該網站使用安全協議傳送密碼、信用卡等敏感訊息。一般而言,這類網站在瀏覽器輸入網址的地方還會顯示一個上鎖的圖示。
除了上述的檢查方式外,資安專家建議網路用戶保護自己免受包含詐騙者在內的網路犯罪者侵害,最簡單且有效的方式還是安裝防毒軟體,或是使用多重因素驗證(2FA)。
資料來源:Hackread
瀏覽 1,603 次
