一个新的网络钓鱼骗局正在瞄准Gmail用户，并愚弄了许多人，包括技术专家，放弃了他们的谷歌证书。万博体育登录首页

黑客使用获得的Gmail证书登录账户，搜索发送的邮件，并将被窃听的电子邮件传递给其他不知情的用户。

这次袭击不只是针对目标Gmail用户但其他服务也一样。的首席执行官马克·蒙德详细描述了这个骗局Wordfence的安全服务WordPress。

网络钓鱼攻击:如何工作

人们很容易上当，因为恶意电子邮件来自一个已知的人的账户，而这个人的账户已经被泄露了。电子邮件中包含了伪装成PDF文件的图片附件。

单击附件预览后，将打开一个新选项卡，并要求用户再次登录Gmail帐户。这是大多数用户被欺骗的地方。在新选项卡中，位置栏显示“accounts.google.com”。看到这一点，大多数用户认为这是一个安全的、经过身份验证的Gmail登录页面，所以他们登录了。

实际上，单击附件会将一个充满代码的网页加载到浏览器的地址栏中。一旦登录完成，用户的帐户就被泄露了。

“攻击者一旦获得凭据，就会立即登录你的账户，他们会使用你的一个实际附件，以及你的一个实际主题行，并将其发送给你联系人列表中的人。”共享经历过骗局的人。

一旦黑客进入用户的账户，用户发送和接收的所有电子邮件和文件就会落入骗子手中，他们会利用新联系人传播恶意软件。

一旦用户失去Gmail帐户的唯一权限，他们很可能将被禁止访问与Gmail帐户用户名和密码相关的任何其他服务。这个过程发生得太快，以至于任何人都注意不到。

如何保护Gmail帐号不受网络钓鱼攻击

识别漏洞的技巧在于仔细检查地址栏。这个漏洞隐藏在显而易见的地方，但不会被发现，因为大多数用户在地址栏中看到“accounts.google.com”后，认为该网页是谷歌的受保护登录页面。

黑客使用一种被称为URI或数据统一资源标识符的网络钓鱼方法。URI方法用于在“https://accounts.google.com”前面的位置栏中附加数据文件。

数据文件“data:text/html”作为前缀包含在浏览器的位置栏中，从而打开虚假登录页面。

为了保护帐户而不上当，用户应该确保在主机文件名前没有任何内容。应该验证协议和主机名。

此外，启用Gmail可用的两步身份验证可以阻止攻击发生，因为黑客需要完成登录所需的OTP(一次性密码)。