全新Gmail网络钓鱼攻击出现 最细心的用户也可能上当

一种新的网络钓鱼技术已经出现,它欺骗网络用户让黑客访问Gmail帐户。据WordPress安全性插件的创建者Wordfence表示,这种攻击的原理就是,黑客发送邮件给受害者,包含看似无害的附件,当用户点击附件,浏览器会弹出一个和谷歌Gmail登录页面非常相似的页面,如果用户输入他们的Gmaiil登录用户名和密码,黑客可以直接取得这些信息。

一位评论者表示,这是他见过的最复杂的攻击,攻击者获得用户Gmail登录信息之后,立即登录受害者的账户,找出受害者电子邮件当中的真实附件和邮件标题,然后将其改造成带有恶意附件的电子邮件,并将其发送到列表当中的联系人。

例如,黑客进入一个学生的帐户,立即找出可能存在的运动队训练日程,然后截屏,制作带有恶意软件的附件,然后配上相关主题,并通过电子邮件发送给运动队的其他成员。

安全人员表示,避免此类攻击的最好办法是仔细查看弹出页面地址栏开头是否有绿色加锁标志,以证明此页面的确为Gmail登录页面,另外对谷歌账户采用双因素认证措施。

作者:cnbeta

来源:51CTO

时间: 2024-10-23 00:32:54

全新Gmail网络钓鱼攻击出现 最细心的用户也可能上当的相关文章

RSA报告全新网络钓鱼攻击中国比例上升

来自RSA反网络欺诈指挥中心的<RSA网络欺诈报告>9月月报显示,RSA FraudAction研究实验室最近发现了一种新的.针对 网上银行客户的独特网络钓鱼攻击.这种网络钓鱼攻击诱骗银行客户在普通的网络钓鱼网站中输入用户名和密码,但增加的虚假实时聊天支持窗口可以通过欺诈者发起的实时聊天会话获取银行客户的凭证.这种攻击第一次通过常规手段执行,但它却表现出更先进层次的网络欺诈实施手段. 该报告还显示,8月份网络钓鱼攻击的数量超过了2008年4月的15002起攻击高峰值,达到创纪录的16164起.

网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术

要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击.尽管无法保证攻击者不攻击您或您的企业,但请记住"凡事预则立". 计划与准备 像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的.发起攻击前,需要进行大量的研究和细致的计划与准备.很多情况下,

AI+网络安全 让鱼叉式网络钓鱼攻击无所遁形

2017年是网络攻击极其活跃的一年,全球先后发生了多起大型网络攻击事件,例如令人震惊的Wanna Cry勒索病毒席卷全球,包括中国在内的150多个国家受到网络攻击.各国企业.学校.医院等机构无一幸免,纷纷中招.  网络攻击往往给企业和个人造成巨大的损失.过去,网络攻击组织主要中利用漏洞来发动针对性的攻击,但是随着"漏洞赏金" 计划的日益普及,利用漏洞攻击越来越难,这迫使攻击者们将视线重新放回到常规攻击途径--网络钓鱼.网络钓鱼可以说这是近两年最常见的攻击手段.  威瑞森针对2016年的

新型Gmail钓鱼攻击连最谨慎的用户都会中招

本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客 WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件.只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页.用户输入的登录信息就直接发回给了攻击者. 在<黑客新闻>网站,一名评论者曾描述过自己学校去年发生的类似事件.他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息: 这是我见过最高明的

网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史

何为网络钓鱼攻击? 首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码.生日.信用卡卡号以及社保账号的一种攻击方式.为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal.亚马逊.联合包裹服务公司(UPS)和美国银行等)的代表. 攻击者发送的通信内容的标题可能包含"iPad赠品"."欺诈告警"或其他诱惑性内容.邮件

网络钓鱼大讲堂 Part3 | 网络钓鱼攻击向量介绍

网络钓鱼攻击的目的包括: 窃取数据及金融诈骗 高级持续性威胁(APT) 恶意软件传播 网络钓鱼这种攻击方式早就存在,但至今仍受攻击者青睐.在搭建了合适的钓鱼网络.收集了信息以及放置诱饵之后,攻击者可入侵任何公司.组织甚或政府机构,造成极大破坏.实际上,时至今日,网络钓鱼仍是最有效.最受攻击者欢迎的攻击向量. 数据窃取与金融诈骗 根据PhishLabs于2016年所作研究,2015年22%的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪.通过这种攻击方式,攻击者获利颇丰,所以该类事件不胜枚举.例如

如何使用Unicode域名进行网络钓鱼攻击?

本文讲的是如何使用Unicode域名进行网络钓鱼攻击?,如果我告诉你这可能是一个网络钓鱼网站,你会相信吗?来看下这个POC Punycode是可以注册具有外来字符的域名,它是通过将单个域标签转换为仅使用ASCII字符的替代格式来工作.例如,域"xn--s7y.co"等效于"短.co". 从安全角度来说,Unicode域可能是有问题的,因为许多Unicode字符难以与常见的ASCII字符区分开来.可以注册诸如"xn--pple-43d.com"的域

Radware:防御现代鱼叉式网络钓鱼攻击的方法

在网络安全领域工作的人都知道,网络钓鱼攻击,特别是针对大型企业的网络钓鱼攻击正在崛起.由于攻击依赖的是任何可利用的人为因素,因此,攻击者对这类攻击十分青睐. 多年以来,网络钓鱼攻击在不断地发展,而在过去,这些攻击仅仅只是简单的攻击.攻击者会发送一条带有可以跳转到虚假网站的链接的信息,诱骗用户在自己的电脑上运行恶意代码.现在,网络钓鱼攻击却变得非常复杂,可以给受害者带来极其严重甚至是无法挽回的损失. 目前,反安全领域中最有效的网络钓鱼攻击就是鱼叉式网络钓鱼,该攻击可以侵入所有的防御层.近年来,多数

用户无法识别网络钓鱼攻击

研究人员发现,电脑用户对于识别恶意软件还算可以,但对于识别网络钓鱼就无能为力了.因此研究人员想要通过改变网络钓鱼的识别方法来改变这一现状. 一项基于眼球运动追踪和大脑活动的最新研究表明,电脑用户对于钓鱼攻击迹象的发现上往往太过仓促. 伯明翰阿拉巴马大学参与此项研究的专家尼特斯·撒克西纳在该大学网站上的一篇论文中说,"即使用户知道在进行关键操作时应该对钓鱼攻击进行识别,并且下意识地对网站的真实性进行分辨,他们还是常常造成误判." 于是,专家们就想要找到一种可以通过追踪用户的潜意识来检测网