18亿Gmail帐户恐遭骇 专家教1招阻网络钓鱼邮件

[Greg]

FBI日前发布「红色警报」，提醒18亿Gmail用户防范黑客利用AI技术绕过安全机制.jpg (63.01 KiB) Viewed 21 times

FBI日前发布「红色警报」，提醒18亿Gmail用户防范黑客利用AI技术绕过安全机制，诱使用户误信帐号遭骇而点入假冒官方网站，不仅密码恐遭窃，连使用Google帐户的其他平台也可能沦陷。Image by Diedry Ferman from Pixabay

FBI日前发布「红色警报」，提醒18亿Gmail用户防范黑客利用AI技术绕过安全机制，诱使用户误信帐号遭骇而点入假冒官方网站，不仅密码恐遭窃，连使用Google帐户的其他平台也可能沦陷。一位网络专家揭示了如何用一招避免这类网络诈骗。

每日邮报报导，有25年经验的资讯安全专家詹姆斯·奈特(James Knight) 表示，只需在自己的帐号上启动垃圾邮件筛选器，便可阻止这些网络钓鱼邮件。

他说，如果收到这些电子邮件，应非常小心地打开与点击链接；看起来像是Gmail或Office登录页面，并不代表就是真的。

奈特指出，这种名为Astaroth的AI技术甚至能协助黑客冒充受害者，从他们的帐户寄出毁灭性的电子邮件。

Astaroth目前在暗网上出售，可击败双重要素验证(Two Factor Authentication, 2FA) 来接管帐户。双重要素验证通常是通过发送验证码到合法用户的手机或电子邮件。

[Greg]

然而，此网络钓鱼工具会即时窃取这些验证程序，通过发送「反向代理」(reverse proxy) 服务器上的虚假页面，让受害者误信他们是正常登录帐户。一旦受害者通过这些虚假网页登录，使用Astaroth的黑客就能取得用户名、密码、信用卡号码、银行资讯与其他重要数据。

目前为止，大多数的网络钓鱼工具都是靠发送附有可疑链接的电子邮件，将受害者带到虚假的登录页面，截取他们的主要用户名和密码。这代表2FA可通过要求用户验证是否真的是他们登录帐户，以确保安全。

然而，Astaroth就像黑客的中间人，即时截取用户名和密码、2FA验证码与网络浏览器档案；这些都能有效绕过帐户上任何形式的多重要素验证(Multi-Factor Authentication, MFA)。

奈特说，Astaroth特别值得注意的是，它有支持与更新功能，以因应Google、微软等在防御这些攻击上所开发的技术。他指出，Astaroth的暗网卖家会为此恶意软件提供六个月的更新，全部费用为2000元，通过聊天交友应用程序Telegram匿名递送。

根据科技公司SlashNext的数据，任何使用Gmail、Yahoo、AOL与微软Outlook等服务者都可能受到这些攻击。