Gmail收到這封信快刪掉!網銀、信用卡恐被盜,4招設定避免帳密遭竊
Google近日向全球近20億名Gmail用戶發出警告,一波新型釣魚信件正猖獗,駭客冒用「假傳票」名義,誘使用戶授權帳號或下載惡意檔案。一旦中招,不只郵件可能外洩,連銀行帳號、雲端檔案甚至個人隱私都可能被竊。假「no-reply」信橫行,點進去就把帳號送出去
收到寄件人顯示「no-reply@accounts.google.com」、主旨寫著「Google帳號遭執法單位調查」的信件,還附上要求「上傳文件」或「回覆調查」的連結,千萬別輕易點擊!這類信件看似官方通知,其實是駭客精心設下的陷阱。
根據《Daily Mail》報導,這波釣魚信宣稱Google已被法院傳喚,要求用戶提供資料。信中附的「支援文件」連結看似官方網站,其實是駭客架設的仿冒頁面。惡意軟體研究員Pieter Arntz指出,駭客甚至建立假的應用程式,以「Google法律文件」名義誘導授權。雖然郵件顯示寄自「accounts.google.com」,實際上卻轉寄自第三方伺服器,有時甚至用「me@」開頭,讓收件者誤以為是朋友寄信。
只要使用者點擊並登入,就等於授權駭客「讀取郵件」、「存取雲端檔案」甚至「查詢信用卡紀錄」。更恐怖的是,部分假文件中藏有惡意軟體,可能竊取裝置密碼與銀行資訊。一旦授權成功,駭客甚至能同步入侵Gmail、Google Drive、相簿、地圖及第三方應用,全面竊取個人身份與財務資料。
收到這種信快刪!8招辨識釣魚信避免受騙
為確保使用者的安全,Google建議民眾,若收到疑似相關的詐騙郵件,應立刻刪除,並手動輸入 「support.google.com」 前往官方網站查詢,絕對不要點信內連結。另外,國立臺灣大學計算機及資訊網路中心也整理出「釣魚/詐騙信件判斷要點」,提醒民眾在收信時多加留意,包含:
- 信誰寄的:不要只看寄件者名稱或email,滑鼠移上去查看真實寄件位址。
- 信件主旨:出現「緊急處理」、「帳號即將停用」等威脅字眼時特別警覺。
- 信件內容拼字:留意拼字錯誤、簡體字或不自然英文,常是假信特徵。
- 稱謂模糊:開頭若寫「Dear user」、「親愛的用戶」等泛稱,要懷疑。
- 署名不明:真實通知會附上單位與承辦人聯絡方式,缺少者多為假信。
- 看清網址連結:官方網址為 google.com,若有多餘符號或錯字(如 google-mail-support.com)即為詐騙。
- 切勿開附件:若非預期信件或不熟悉寄件者,請勿開啟任何附件檔案。
- 勿回信提供個資:正規單位不會要求在信件中提供帳號、密碼或身份證號。
4步驟啟動密碼金鑰,保護帳號不被竊取
除了建議即時刪除不明來信,Google也鼓勵用戶應盡快啟用「密碼金鑰(Passkey)」。這項技術以指紋、臉部辨識或PIN碼取代傳統密碼登入,金鑰只儲存在個人裝置中,不會上傳伺服器,同時也保護帳號無法被釣魚網站竊取。
Google在官方說明中指出,建立密碼金鑰後,登入時即可直接用裝置驗證身分,無須輸入密碼或完成兩步驟驗證。此機制已支援Chrome、Edge等主流瀏覽器,能有效防範釣魚攻擊。
要如何啟動密碼金鑰(Passkey)?
1.在要使用密碼金鑰(Passkey)的電腦上打開瀏覽器,登入 Google 帳號之後,點擊頭像並選擇「管理你的 Google 帳戶」。
2.進入「安全性」的項目,在「您登入Google的方式」當中點選「密碼金鑰」。
3.進入密碼金鑰的管理頁面,點擊「使用密碼金鑰」。
4.接著按下「建立密碼金鑰」,以繼續完成密碼金鑰的設定程序。