18億Gmail帳戶恐遭駭 專家教1招阻網路釣魚郵件

FBI日前發布「紅色警報」，提醒18億Gmail用戶防範駭客利用AI技術繞過安全機制，誘使用戶誤信帳號遭駭而點入假冒官方網站，不僅密碼恐遭竊，連使用Google帳戶的其他平台也可能淪陷。一位網路專家揭示了如何用一招避免這類網路詐騙。

每日郵報報導，有25年經驗的資訊安全專家詹姆斯·奈特(James Knight) 表示，只需在自己的帳號上啟動垃圾郵件篩選器，便可阻止這些網路釣魚郵件。

他說，如果收到這些電子郵件，應非常小心地打開與點擊連結；看起來像是Gmail或Office登入頁面，並不代表就是真的。

奈特指出，這種名為Astaroth的AI技術甚至能協助駭客冒充受害者，從他們的帳戶寄出毀滅性的電子郵件。

Astaroth目前在暗網上出售，可擊敗雙重要素驗證(Two Factor Authentication, 2FA) 來接管帳戶。雙重要素驗證通常是透過傳送驗證碼到合法使用者的手機或電子郵件。

然而，此網路釣魚工具會即時竊取這些驗證程式，透過傳送「反向代理」(reverse proxy) 伺服器上的虛假頁面，讓受害者誤信他們是正常登入帳戶。一旦受害者透過這些虛假網頁登入，使用Astaroth的駭客就能取得使用者名稱、密碼、信用卡號碼、銀行資訊與其他重要資料。

目前為止，大多數的網路釣魚工具都是靠傳送附有可疑連結的電子郵件，將受害者帶到虛假的登入頁面，擷取他們的主要使用者名稱和密碼。這代表2FA可透過要求使用者驗證是否真的是他們登入帳戶，以確保安全。

然而，Astaroth就像駭客的中間人，即時擷取使用者名稱和密碼、2FA驗證碼與網路瀏覽器檔案；這些都能有效繞過帳戶上任何形式的多重要素驗證(Multi-Factor Authentication, MFA)。

奈特說，Astaroth特別值得注意的是，它有支援與更新功能，以因應Google、微軟等在防禦這些攻擊上所開發的技術。他指出，Astaroth的暗網賣家會為此惡意軟體提供六個月的更新，全部費用為2000元，透過聊天交友應用程式Telegram匿名遞送。

根據科技公司SlashNext的資料，任何使用Gmail、Yahoo、AOL與微軟Outlook等服務者都可能受到這些攻擊。