柯麗兒
針對前幾日 Gmail 爆出安全漏洞的報導,Google 提出回應,指出某些使用者根本是上了假的電子郵件詐騙 (bogus e-mail scam) 的當。
本週二,Google 報告指出:「經過調查最近針對 Gmail 漏洞的報告中,發現使用者被釣魚郵件訊息 (phishing messages) 欺騙了。」
Google 安全工程師 Chris Evans 在他的部落格中針對聲稱發現 Gmail 安全漏洞的臆測發表文章解釋:「Google 已深入調查此事,沒有任何證據顯示 Gmail 有安全性漏洞。」
上星期日,網站開發者 Brandon Partridge 在 GeekCondition.com 的部落格上發表文章警告:「駭客可以迫使一個 Gmail 使用者在不知情的狀況下建造一個惡意的訊息過濾器。」這將使得駭客可以在 Gmail 使用者毫不知情的狀況下,劫持任何訊息。
但是,此漏洞原來是容易受騙的使用者上了釣魚詐欺 (phishing scam) 的當。
Evans 解釋:「駭客寄送客製化的電子郵件鼓勵網域 (Web domain) 所有者拜訪詐欺網站,例如 google-hosts.com,這些網站成立的目的在截取用戶的帳號與密碼。這些假冒的網站與 Google 一點關係也沒有。一旦駭客取得使用者憑據 (credentials),就可以任意修改被取得憑證的帳號內容。在這案例中,駭客設立了訊息過濾器,特意將網域註冊商的聯絡信件偷偷轉寄至駭客的人頭信箱中。」
去年指出 Gmail 漏洞的 GNUCitizen.org 安全研究者 Petko D. Petkov 指出:「Partridge 所描述的技術,只在某些形式的跨網站腳本 (cross-site scripting, XSS) 中出現,而並非他所發現的跨網站需求偽造 (corss-site request forgery) 漏洞。雖然他的評估在此案例中可能是錯誤的,但如果相信未來沒有任何 Gmail 漏洞會被發現,也是過於天真。」
Evans 建議:「Google 使用者只要透過https://www.google.com/accounts 的網址輸入憑證資料登入 Gmail,瀏覽器就絕對不會發出關於憑證的任何警告。」
更值得進一步補充說明的是,人們應該對任何電子郵件訊息內容的合法性抱持懷疑的態度,特別是從不知名的來源寄來的郵件。