如果今天你在信箱收到编辑 Google
文件的邀请连结,最好不要点开。今天上午左右,在美国最大论坛之一的 Reddit 
上已经有大批使用者声称收到从某联络人发出的Google Docs
邀请信,点进连结后,它会先带你到一个真的Google
登入页面,接着要求「继续前往Google 文件」(Continue to Google
Docs)。一但点下按钮,你就授权给了一个冒名为 Google Docs
的第三方程式,让恶意程式获得你的信箱地址和联络人资讯。

在昨天闹得沸沸扬扬的 Google Docs 钓鱼链接事件后,他们很快地就在 Android
版的 Gmail app 推出了最新的防范策略。就像网页版 Gmail
去年推送的功能一样,将可在使用者点击进入可疑链接时,即时地跳转进入警告页面,告知你此网页很可能是伪造等恶意钓鱼的页面。有意思的是,尽管在这是在
Google Docs 钓鱼问题发生的时间点所推出的防范功能,不过由于该攻击使用的是
Google
自己的网址,所以显然即便安装了这个更新,遇到类似的攻击也应该还是无法防范。是说,就算官方已经宣布将全力防堵了类似的邀请攻击了,但最好的防毒
/ 防钓鱼引擎,还是一颗时时谨慎不要乱点链接的心比较实在些啰。

下载手机App要注意隐私与个资问题。图为疑似间谍软体,印度禁止军方使用的多款中国App。

澳门新葡萄京官网首页,根据 The
Verge,这次手法和普通钓鱼信不同的地方在于,过去钓鱼诈骗通常只是制作了一个看起来很像的网页,骗使用者填入密码,所以只要仔细看一下网址就会发现不对。这一次钓鱼却使用了真正的官方登入页面,只是伪装成图示和名称与官方
Google 文件一模一样的第三方 app,骗取你的授权。

澳门新葡萄京官网首页 1

如果使用者不小心授权给了这个假冒的
app,它就会透过联络清单寄更多钓鱼信件给其他人,持续扩散受害范围。

让你一秒“从大妈变网美”的美肌App受到民众热爱与疯狂下载。但现在要小心了,资讯公司调查发现,部分恶意相机应用程式会诱导至钓鱼网址、欺骗个资,转给不法之徒利用个资进行诈骗。

澳门新葡萄京官网首页 2

喜欢拍照、打卡上传前,按“美肌模式”修图的民众要注意了。资安厂商趋势科技在手机安卓系统的Google
Play上,发现多款热门相机应用程式,会推播欺诈和色情恶意广告。

▲钓鱼诈骗的授权画面,photo credit: Google 授权画面截图。

趋势科技进一步将这些恶意App经过资安软体侦测,出现“AndroidOS_BadCamera.HRX”或“AndroidOS_PornPlayer.UHRXA”后得出判断。

尽管授权页面乍看一模一样,网址也看不出问题,不过从作者资讯还是看得出这个
Google Docs 的作者并非 Google 公司。

调查发现,恶意相机应用程式会引导民众下载付费色情播放程式,或是连结到远端广告服务器,耗用资源从事广告分析。甚至重新引导用户至钓鱼网站,透过奖励机制,诱使受害者填写表单,包括地址、电话等个资。有些美肌App还会要求使用者上传照片,进行“美化”,当使用者同意发送时,照片已经被不法人士搜集,将借机在社群平台伪造个人大头贴以进行诈骗。

Google
已经处理了此次案件并对此发出 声明 ,表示已经关闭了该冒牌
app,更新 Safe Browsing 恶意网址名单,并正在调查受害范围。 Google
安全部门也在想办法预防类似事件将来再度发生,并鼓励使用者用 Gmail
举报功能检举可疑的的钓鱼信件。

趋势科技表示,有好几支美肌App产品已被下载数百万次,其中,来自亚洲的下载量最大宗,虽然Google已移除可疑应用程式,但仍要呼吁民众,下载各类手机应用程式不可掉以轻心。建议下载前,要观察使用者评价、任何可疑或没必要指令,不要一路点“确定”到底,警觉性要够。

曾经授权给可疑程式的使用者,也可以在 Google
帐号的 管理页面 终止第三方程式的授权,让它无法再次存取你的通讯资料,不过已经流出去的资料仍是覆水难收。另外尽管Google
这次已经中止了一个程式,不过未来难保会出现一样冒充正常app
的诈骗钓鱼app,在点下任何连结或授权之前,最好睁大眼睛看看授权内容和开发者等资讯,才是自保的根本。

稿源:INSIDE