共计 3945 个字符,预计需要花费 10 分钟才能阅读完成。
Google 已实施越来越复杂的保护措施,详情请参阅 此处,以防止那些试图破坏您 Gmail 账户的人——但使用 AI 驱动的攻击的黑客也在不断进化。根据 Google 自己的数据,目前 Gmail 服务的用户超过 25 亿。难怪它成为黑客和诈骗者的目标。以下是您需要了解的内容。
最新的 AI 驱动的 Gmail 攻击非常可怕
Microsoft 解决方案顾问 Sam Mitrovic 在几乎成为所谓的“超逼真 AI 诈骗电话”的受害者后发出警告,这种诈骗电话甚至能欺骗最有经验的用户。
这一切始于 Mitrovic 意识到针对他的攻击的复杂性的一周前。“我收到一条通知,要求批准 Gmail 账户恢复尝试,”Mitrovic 在 一篇警告其他 Gmail 用户的博客文章 中回忆道。确认账户恢复或密码重置的需求是一种常见的钓鱼攻击方法,旨在引导用户进入一个虚假的登录门户,他们需要输入凭据以报告该请求并非由他们发起。
有关应对 Gmail 黑客攻击的方法,请参阅 此处。
不出所料,Mitrovic 没有上当,忽略了似乎来自美国的通知和 40 分钟后来自澳大利亚悉尼 Google 的未接电话。到目前为止,相对简单且容易避免。然后,几乎正好一周后,事情变得严重起来——另一个账户恢复批准的通知请求,40 分钟后又接到一个电话。这次,Mitrovic 没有错过电话,而是接听了:一个自称来自 Google 支持的美国声音确认 Gmail 账户有可疑活动。
“他问我是否在旅行,”Mitrovic 说,“当我回答没有时,他问我是否从德国登录,我回答没有。”这一切都是为了在通话者中建立信任,在接收者中制造恐惧。这时事情迅速变得黑暗,并且在钓鱼的整体计划中相当聪明。所谓的 Google 支持人员告诉 Mitrovic,攻击者已经访问了他的 Gmail 账户一周,并且已经下载了账户数据。这引起了警报,因为 Mitrovic 回忆起一周前的恢复通知和未接电话。
在通话过程中,Mitrovic 搜索了他被呼叫的电话号码,发现它确实指向 Google 业务页面。这本身就是一个聪明的策略,可能会欺骗许多在恐慌时刻陷入其中的毫无戒心的用户,因为它不是一个 Google 支持号码,而是关于从 Google Assistant 接到的电话。有关 Google 支持电话的详细信息,请参阅 此处。
有关 Google 为 25 亿用户提供的新 Gmail 安全增强措施,请参阅 此处。
另一个由 AI 驱动的 Google 支持诈骗引发对 Gmail 用户的警告
风险投资公司和初创企业加速器 Y Combinator 的创始人 Garry Tan 在 X(前身为 Twitter)上发布警告,请参阅 此处,称另一种利用 AI 使其看起来可信的钓鱼诈骗“相当复杂”。再次,与几乎欺骗了安全顾问 Sam Mitrovic 的诈骗一样,最新的警告涉及所谓的 Google 支持技术人员的联系。我不会像 X 上的一个评论者那样极端地认为 Google 没有为用户提供任何支持,但当涉及到这些诈骗时,这并不太远离事实:Google 支持不会像这样突然联系你。“不要点击这个对话框中的‘确认’,”Tan 警告说,“你会被钓鱼。”
在针对 Tan 的诈骗案例中,所谓的 Google 支持人员声称公司收到了死亡证明,并且家庭成员正在尝试恢复他的账户。换句话说,只有 AI 才会这么愚蠢,检查接电话的人是否还活着。“这是一个相当复杂的策略,让你允许密码恢复,”Tan 继续警告说,但他发现账户恢复屏幕上显示的设备字段是 Google 支持工作者的名字,而不是实际使用的设备。Tan 建议,设计恢复界面的人应该在相关文本字段上使用一些非常基本的正则表达式检查,甚至是基于 AI 的欺诈检测。“检查设备名称是微不足道的,”他总结道。诈骗的一部分涉及让 Tan 重新添加他的手机号码作为验证过程的一部分,以触发账户恢复对话框。然而,Tan 对此很明智:“我经历过 SIM 卡交换,所以知道永远不要在我的账户上使用我的手机,”Tan 解释道。
使用 Google 表单使联系看起来合法
诈骗者还被发现滥用 Google Workspace 中的免费在线工具来创建看似合法的文档,作为支持诈骗的一部分发送。通过将表单的副本发送到目标地址,使用 Google 表单的响应收据选项,文档通过真正的 Google 服务器发送,增加了诈骗的合法性。检查电子邮件将显示它来自 workspacesupport@google.com,例如,这会降低收件人可能有的任何红色警报。一个这样的诈骗使用这样的表单来模仿账户恢复密码重置表单,告诉目标他们会从指定的支持代理收到 SMS 通知,并给他们检查的号码。这种双重合法性方法足以在很多时候欺骗很多人。在这种情况下,如果接收端的人足够精明,唯一的失误是一个复杂且过长的密码重置过程。
从这些 Google 支持黑客的接近失误中吸取的教训
Mitrovic 做了正确的事情,或者至少是挂断电话的下一个最佳选择,并要求所谓的支持人员发送电子邮件确认——一封来自 Google 域名的电子邮件很快就到了,看起来完全真实。在这一点上,他注意到收件人字段包含一个巧妙伪装的地址,实际上并不是 Google 域名,但再次,很容易欺骗那些不精通技术的人。
然而,对 Mitrovic 来说,真正的线索是当通话者说“你好”,在没有回应后再次说“你好”。“在这一点上,我意识到这是一个 AI 声音,因为发音和间隔太完美了,”Mitrovic 说。
非常值得阅读 Mitrovic 的 原始博客,因为它包含更多技术细节和侦探工作,我在本报告中没有空间涵盖。知识就是一切,这位顾问提供的威胁情报对于任何可能发现自己处于类似情况的人来说都是真正无价的:有备无患。
几乎可以肯定的是,攻击者会继续到一个所谓的恢复过程将被启动的点,实际上这将是一个克隆的登录门户,捕获用户凭据,并可能使用某种会话 cookie 窃取恶意软件来绕过双因素认证(如果已启用)。
Google 启动全球信号交换以打击诈骗者
Google 宣布已与全球反诈骗联盟和 DNS 研究联盟合作,形成一项新的举措,以打击诈骗者。全球信号交换的核心引擎将作为一个情报共享平台,提供有关诈骗和欺诈的实时洞察,提供对网络犯罪供应链的深入了解。作为全球信号交换的创始成员,Google 希望该平台将成为一个全球情报交换中心,连接与不良行为者及其攻击相关的情报信号。
Google 信任与安全高级总监 Amanda Storey 表示,这种合作“利用了每个合作伙伴的优势”。GASA 拥有广泛的现有利益相关者网络,DNS 研究基金会拥有超过 4000 万个现有信号的数据平台,“GSE 旨在改善滥用信号的交换,使各行业、平台和服务能够更快地识别和破坏欺诈活动。”
Google 确认的最终目标是创建一个不仅在互联网本身的几乎不可想象的规模上运作,而且在效率和最重要的是用户友好性方面运作的解决方案。这意味着符合条件的组织将能够使用它来反击诈骗者。Google 在这一领域已经有很多经验,长期以来一直与合作伙伴合作帮助打击欺诈。事实上,作为新全球信号交换的测试的一部分,Google 分享了超过 10 万个恶意 URL,并消耗了惊人的 100 万个诈骗信号进行分析。“我们将首先分享我们在诈骗政策下采取行动的 Google 购物 URL,”Google 账户安全产品经理 Nafis Zebarjadi 说,“随着我们从试点中获得经验,我们将很快从其他相关 Google 产品领域添加数据。”
全球信号交换的核心引擎运行在 Google Cloud 上,使所有参与者能够共享和消费情报信号,同时“受益于 Google Cloud Platform 的 AI 能力,以智能地发现模式和匹配信号”,Storey 总结道。
保持安全,避免最先进的 Gmail 诈骗
AI 深度伪造不仅用于色情和政治,它们还被用来实施看似普通的账户接管,如本例所示。如果您被声称来自 Google 官方支持的人联系,请保持冷静,他们不会打电话给您,所以这是一个巨大的红色警报,如果您挂断电话,不会有任何伤害。使用您手头的工具,讽刺的是 Google 搜索本身和您的 Gmail 账户,在通话期间进行检查,如果您担心它可能是真实的,忽略它可能会造成伤害。搜索电话号码,看看它真正来自哪里。检查您的 Gmail 活动,看看是否有任何其他设备(除了您自己的设备)在使用该账户。注意 Google 关于 如何保持安全,避免使用 Gmail 钓鱼诈骗的攻击者 的说明。最重要的是,永远不要让自己被匆忙做出冲动反应,无论对话中注入多少紧迫感。
有关 2024 年笔记本电脑被黑客攻击的详细信息,请参阅 此处。
有关 Android、Chrome 和 Play 商店的安全担忧,请参阅 此处。
使用 Google 的高级保护计划——现在支持 Passkey
我还建议考虑加入 Google 的高级保护计划,该计划专为高风险账户持有者设计。高级保护计划的一个缺点一直是它需要购买两个硬件安全密钥,以便在登录账户时使用。今年早些时候,Google 宣布 Passkey 支持将面向高级保护计划用户,从而减轻了财务负担。
Google 的高级保护计划提供钓鱼诈骗防护。
这两种技术带来的保护组合使得它对大多数拥有 Google 账户的人来说几乎是必备的选择,包括所有 Gmail 用户。原因如下。在任何设备上首次登录 Google 都需要 Passkey,这意味着即使黑客获得了您的用户名和账户,没有存储 Passkey 的设备(您的智能手机)和验证所需的生物识别信息,他们也无法登录。结合高级保护计划的注册,该计划限制大多数非 Google 应用和服务访问您的 Gmail 账户数据,也使得被钓鱼的密码和账户恢复更难实施。“如果有人试图恢复您的账户,”Google 发言人表示,“高级保护会采取额外验证步骤来验证您的身份。”这意味着可能需要几天时间来验证您是谁,并重新获得对 Google 账户的访问权限。但这意味着黑客也不能通过诈骗进入。
