香港明报报道,全国两会开幕在即,包括本报在内的多家香港传媒机构记者的Gmail帐户几乎在同一时间,收到一封看似修改密码的通知、实为套取帐户资料的“钓鱼”电邮。有记者误按电邮内的连结后,帐户无法登入。而电邮帐户多次被一个来自内地的IP地址用户登入。有电脑安全专家指出,“钓鱼电邮”除志在获取电邮通讯内容外,还很有可能藉此入侵电脑。
一按连结即中招 无法登入
入侵在周三(2月27日)晚约8时开始,至当晚10时18分,多间香港传媒机构中国组记者在同一时间收到一封抬头“Gmail小组”的电邮,标题为《Google帐户密码变更确认》,内文模彷Google通知,声称帐户密码已被修改,要求用户点击一条连结以修复密码。有记者心急未加细分,一按连结已经中招,导致电邮密码被改,帐户无法登入,要透过其他途径取回密码。而昨日上午,明报记者的电邮帐户再被入侵。
细看之下,若密码真被修改,由Google发出的正式通知应来自accounts-noreply@google.com,但该“Gmail小组”电邮却是来自“privacy-noreply@gaccounts.com”,后面还有一行标注“via nifty.com”,但由于电邮抬头未显示过长的发件人信息,要按“显示详细信息”才会看到,故欺骗性很大。
专家﹕入侵团队有组织有目标
Google在稍后在电邮前端显示红色警示条,提醒这并非正式通知电邮,而是钓鱼邮件。遭入侵的记者事后翻查登入纪录,发现入侵者来自一串IPv6地址,显示来自中国内地。有本港电脑专家指出,假连结的背后相信是木马程式,点击后会自动下载到电脑,并可避过杀毒软件扫描,从而盗取相关资讯。专家称,可以判定这是一次有组织、有目标的入侵,相信入侵者是一个团队,主要目的是想取得记者与受访者的联络资料。
另一名专家则指,即使做足Google双重验证,若初始验证码外泄,黑客即可轻易複製或以算法得到验证码,再者,黑客若成功在记者电脑中植入木马,仍可获取相关资讯,除非将电脑格式化后重装系统。所以提醒自知已成为攻击目标的记者或相关人士,时刻注意电邮帐户安全。