詐騙手法日益精進，你該提防偽裝成 Google 和 PayPal 超逼真釣魚信

隨著詐騙手法日益精密，要辨識假的電子郵件變得越來越困難。據最新報告顯示，有一種新型攻擊方式，讓偽裝成 Google 和 PayPal 的安全警告看起來幾可亂真。

這再次提醒我們：只要收到需要你立即回應的重要郵件，就應採取一項簡單卻有效的自我防護措施。

什麼是釣魚攻擊？釣魚攻擊通常是有人冒充企業或機構名義寄出假的電子郵件，內含一個要求你登入的連結，誘導你採取某種行動；這類郵件經常營造出一種緊急感，例如聲稱你的帳號已遭駭入，一旦你點擊連結，它會引導你前往一個仿真的登入頁面，該頁面實際上是用來竊取你的帳號與密碼。

雖然蘋果和 Google 等公司已採取多種技術措施來偵測與封鎖釣魚攻擊，使用者本身也可透過一些線索來辨別，但據《Bleeping Computer》的報導，駭客近期利用一種極為巧妙的手法，成功冒充 Google 與 PayPal。

極具說服力的攻擊手法

Ethereum Name Service（ENS）首席開發者 Nick Johnson 就收到一封看似來自 Google 的安全警示，聲稱執法單位對他的 Google 帳號內容提出傳票申請。這封郵件看起來幾乎完全合法，甚至被 Google 自動分類為與其他安全警示相同的類別，而且郵件也由 Google 簽署與遞送。

實際上，攻擊者在 Google 提供的網站託管平台 sites․google․com 上建立了一個假冒的登入頁面，並透過技術手段使 Google 寄出一封真正的郵件，接著再轉寄給目標受害者，並夾帶詐騙內容。

由於該郵件是由 Google 寄出、發件人顯示為「no-reply@google.com」，也通過了 DomainKeys Identified Mail（DKIM）簽章驗證，因此表面上看起來完全正常，但實際寄件者卻另有其人。

Johnson 解釋，由於郵件是由 Google 所生成，具備有效的 DKIM 金鑰，所有驗證都能通過。最後一個步驟是將這封看似真實的警示轉寄給受害者。

Google 系統中的一項弱點在於，DKIM 僅檢查郵件內容與標頭，而不驗證信封寄件人，因此讓這類假信得以成功通過驗證並出現在收件匣中。此外，攻擊者將目標電子郵件名稱設為「me@」，讓 Gmail 顯示這封信「看似」是寄給你自己的，進一步增強真實性。

連同登入頁面也仿製得幾可亂真。Google 表示已著手修補此問題，但目前此方法仍具可行性。且要注意的是，類似技術也被用於 PayPal，駭客利用禮物功能，使釣魚信件看似來自 PayPal 的合法帳戶。