最近出现了一些关于 Gmail 安全性的质疑,说有人能利用 Gmail 的漏洞在别人的 Gmail 中设置过滤器从而获取对方的域名. Matt Cutts 在 Blogoscoped 论坛表示这是 Gmail 在2007年就已经修复的一个问题, Google 也马上开始了调查,最终发现这并不是 Gmail 安全性的问题,而是钓鱼邮件致使一些用户上当.

据 Digital Inspiration 报道, Google 在官方在线安全博客中详细说明了此事:邮件袭击者先给某个域名的持有者发送一封邮件让他们访问某个欺诈(钓鱼)网页,比如 “google-hosts.com”这种看起来像 Google 官方网站一样的仿冒网站.对方的目的就是要你输入 Gmail 的帐号信息,然后他就能在你的 Gmail 邮箱里设置过滤器转发邮件给你的域名供应商联系了.

那么如何防止类似事件的发生呢? Google 建议你:

1. 总是使用 HTTPS 登录 Gmail.你可以在 Gmail 的”设置(Settings)”下的”基本设置(General)”选项卡中进行设置.

2. 仔细检查登录是的网页地址,只在以 https://www.google.com/accounts… 开头的网页中输入你的 Gmail 帐号信息.

3. 经常检查自己 Gmail 的过滤器,你可以在”设置(Settings)”下的”过滤器(Filters)”选项卡中看到,注意有没有多出不是自己设置的过滤器.

对于域名持有者来说,你甚至也可以考虑使用 OpenDNS, 因为他会阻止受怀疑的钓鱼网站.

今天很多博客都报道了惊现 Gmail 钓鱼邮件的事,据 awflasher 报道:

今天,Feedsky的帅哥Src给我Forward了一封E-mail,询问这封邮件的真假.我打开一看,邮件中自称来自"GMail小组".样式也采用了Google的一贯风格,还真是有点"以假乱真"的模样.

下面是一张来自与G共舞博客的截图

这封邮件中采用了一个叫做"mail-noreply@gmail.com"的伪造邮箱,看起来十分像Google的"官方邮箱".

awflasher 博客作者 aw 就此事询问了他的好友 – 目前担任Google的用户体验工程师王俊煜同学,俊煜同学给出了如下讲解(注:已重新整理):

在浏览器里面Google用户名密码的输入框都是在 www.google.com 上, 或者是一个iframe(不过它要是做得再真一点, 还不好注意这个).同时俊煜还表示 aw 有必要提醒一下大家,警惕Gmail钓鱼.

而据与G共舞博客一位网友 zuiyun 表示:

这邮件我也收到了一封,差点就上当了.幸好Gmail提示是否确定把信息发往外部网页.好险啊!

当然,对于这样的事件,是很有必要提醒一下 Gmail 用户的,因为很多 Gmail 用户都是 Google 的重度用户,很有可能在 Gmail 里保存非常重要的个人信息甚至银行卡密码等.所以请所有使用 Gmail 的朋友注意.

对于预防此类信息, aw 的建议是:

对于要求输入重要的密码、口令之前,一定要用Firebug察觉一下相关 form 的 action 地址,例如Src同学受到的邮件中, form 的 action 地址如下:

据 aw 表示,现在这个钓鱼地址已经提交给Google Gmail相关工作人员,相信诈骗团伙很快就能落网.

另外我自己也收到过钓鱼邮件,总之碰到这些事都要多个心眼,不要轻易点邮件中的链接,也不要轻易在邮件中直接输入密码等个人信息.