谷歌用戶遭釣魚攻擊 Chrome漏洞亟待打補丁
鉅亨網新聞中心 2014-05-15 08:24
每經記者 孫宇婷
據外媒報導,通過一種最新的釣魚騙局,黑客正將目標對準谷歌用戶的密碼,和過去的釣魚攻擊比起來,最新的方式更難被檢測及攔截。
知名安全軟件公司Bitdefender專家比恩卡·史坦艾斯庫表示,“我們此前沒有發現過此類網絡釣魚式攻擊。它是加強版的,通常安全解決方案會在用戶打開網頁前阻止惡意活動,但這次,安全解決方案接收到編碼內容,卻不能有效阻止。”
昨日(5月14日),金山安全專家李鐵軍在接受《每日經濟新聞》記者採訪時表示,Chrome瀏覽器的確存在安全漏洞,谷歌方面需要打個補丁;從用戶角度看,使用身份雙重驗證,同時安全軟件也需要相應升級,才能有效避免遭遇釣魚。
針對上述安全風險,記者昨日通過郵件和電話聯繫谷歌公關相關人士,但截至發稿時未收到回復。
釣魚騙局是這樣的:谷歌用戶會收到一封電子郵件,聲稱是由谷歌發送的,以“郵件通知”或“注意通知”為主題。郵件裏寫道:“這是一個提醒,由於無法增加郵箱儲量,你的郵件將在24小時內被鎖定。請前往INSTANTINCREASE自動增加你的郵箱容量。”緊隨這段文字之后,出現了帶有超連結的“INSTANTINCREASE”,用戶一旦點擊這個連結,將被重新定向到一個虛假的谷歌用戶登錄頁面,並提示他們輸入認證信息。在接收到上述信息后,黑客們不僅可以入侵受害者的電子郵件,甚至可以進入用戶所有的谷歌文檔、GooglePlay,Google+。
據Bitdefender安全專家透露,這個攻擊的特殊之處在於,它不僅使得具有合法性的郵件出現 (發郵件方為谷歌公司),而且網絡釣魚攻擊的結構也很值得推敲。此次攻擊是基於統一資源標識符(URI),這是組成URL字元的子集。
李鐵軍表示,“研發團隊證實是個漏洞,但風險有限,由於地址欄顯示的不是‘http:/’的URL,目前的反釣魚系統不會攔截。”
當記者詢問是否將針對“data:/”的補丁打上就可防範此類風險時,李鐵軍表示,“可以設置一個規則阻止此類型跳轉”,並認為谷歌應該會解決這一問題。
李鐵軍指出,如果用戶比較重視安全的話,應該盡可能使用雙重驗證,而安全軟件也需要通過升級來解決上述問題。
- 2025這樣投資AI最穩健!
- 掌握全球財經資訊點我下載APP
文章標籤
上一篇
下一篇