Google Docs暗藏惡意程式 點選連結恐與駭客「分享」個人資料

Google Docs暗藏惡意程式 點選連結恐與駭客「分享」個人資料
我們想讓你知道的是

這種不同於以往的釣魚手法,是讓已登入帳號的用戶點入Google文件中的惡意程式,讓駭客無需取得密碼,就可控制受騙用戶的帳號。

唸給你聽
powered by Cyberon

(中央社)

不少人上社群媒體抱怨帳號被入侵後,谷歌(Google)母公司Alphabet警告用戶,來自已知聯絡人的電子郵件中,若要求點連結到Google文件(Google Docs),小心別被騙。

路透社報導,Google今天表示,已採取行動保護用戶免受攻擊,包括封鎖違規帳號和移除惡意頁面。

Google說:「我們的濫用行為小組正致力防止這類詐騙再度發生。」

根據檢視這個手法的資安專家,惡意電郵要求受害者點閱Google文件產生的檔案。不小心點下去後,駭客能取得他們Google帳號資料,包括電郵、聯絡人和網路文件。

紐約大學坦登工程學院(Tandon School of Engineering)電腦安全教授卡波斯(Justin Cappos)說:「對所有遭遇感染的人來說,這是非常嚴重的情況,因為受害者帳號被惡意的一方控制。」

卡波斯表示,他在三小時內就收到七封惡意電郵,顯示駭客利用一個自動化系統持續攻擊。

卡波斯說,他不知道駭客目的,但指出被駭的帳號可能被用來重設網路銀行帳號密碼,或提供管道取得敏感財務和個人資料。

根據英國《每日電訊報》網站,推特用戶「zeynep」寫道:「似乎來自你可能認識的人的網路釣魚(或惡意軟體)Google Doc連結正在流傳。快刪掉電郵,不要點開。」

有人回說剛收到類似的電郵,形容駭客「超級高招」。

蘋果報導,這種不同於以往的釣魚手法,是讓已登入帳號的用戶點入Google文件中的惡意程式,讓駭客無需取得密碼,就可控制受騙用戶的帳號。網路安全公司PhishMe.Inc技術長希格比(Aaron Higbee)說,這是「未來的釣魚手法」,「不必將惡意程式植入電腦,就可達到目的」。也有用戶是被騙到其他網站後輸入密碼,結果密碼落入駭客之手。

中時報導,那要怎麼知道自己有沒有中招呢?其實使用者可以到自己的Google帳戶設定中去看看,有沒有任何Google文件的存取權限,如果有的話將他刪除即可。實際上Google旗下的文件、試算表等等服務,其實預設就是可存取,根本就不會有向使用者要求存取的情況發生。