作者:Davey Winder
更新,2024年10月13日:本文最初于10月11日发布,包括了谷歌新的反诈骗联盟计划的细节、关于看似合法的支持诈骗的新警告以及谷歌高级保护计划的相关信息,该计划旨在保护高风险账户。
谷歌已经实施了越来越复杂的保护措施针对那些想要侵入您的Gmail账户的人——但利用AI驱动攻击的黑客也在不断发展。根据Google自身的数据,目前有超过25亿用户使用Gmail服务。难怪它会成为黑客和骗子的目标。以下是你需要知道的内容。
微软解决方案顾问萨姆·米特罗维奇在差点成为一起被称为“超级逼真的AI诈骗电话”的受害者后发出警告,这种诈骗手段甚至能够欺骗最有经验的用户。
这一切始于米特罗维奇意识到针对他的攻击的复杂性的一个星期之前。“我收到了批准一项Gmail账户恢复尝试的通知,”米特罗维奇回忆道。一篇警告其他Gmail用户的博客文章确认账户恢复或密码重置的需求是一种臭名昭著的网络钓鱼攻击方法,旨在将用户引导到一个假的登录门户,在那里他们需要输入凭据以报告该请求并非由他们发起。
福布斯Gmail黑客控制了二次验证、电子邮件和电话号码?你应该怎么做 By 戴维·温德
不出所料,米特罗维奇没有上当,忽略了看似来自美国的通知以及大约40分钟后的一个未接来电,该电话据称是来自澳大利亚悉尼的谷歌打来的。到目前为止,情况相对简单且易于避免。然而,几乎正好一周后,事情变得有趣——又有一个账户恢复请求的通知,随后在40分钟后再次接到一个电话。这次米特罗维奇没有错过这个电话而是接了起来:一名自称是谷歌支持团队的美国人确认了他的Gmail账户有可疑活动。
“他问我是否在旅行,”Mitrovic说,“当我回答没有的时候,他又问我是否从德国登录过,我再次回答没有。”这一切都是为了在通话者和接听者之间制造信任和恐惧。这时事情迅速变得黑暗而巧妙,整体来看这是网络钓鱼手段中相当高明的一招。所谓的谷歌支持人员告诉Mitrovic,有攻击者在过去7天里访问了他的Gmail账户,并且已经下载了账号数据。这让他想起了一周前收到的恢复通知和漏接的一个电话,顿时警铃大作。
米特罗维奇在通话过程中搜索对方的电话号码,发现该号码确实指向了谷歌的企业页面。仅这一项就足智多谋,很可能会让许多不知情且处于慌乱状态中的用户上当受骗,因为这不是一个谷歌支持热线,而是关于接到谷歌助手来电的事情。“在通话开始时,您会听到打电话的原因以及这次电话来自谷歌。您可以期待该呼叫来自自动系统,或者在某些情况下,来自人工操作员。”100%正品页面帮助读者告知。
福布斯谷歌确认为25亿用户的新Gmail安全增强功能截至戴维·温德
Y Combinator风投公司和创业加速器的创始人Garry Tan已在其前身称为Twitter的X平台上发布了通知关于另一起被他描述为“相当复杂”的网络钓鱼骗局的警告。这也利用了人工智能,以便显得可信。再次提醒,就像几乎欺骗了萨姆·米特罗维奇的诈骗一样,这位安全顾问记得那次骗局涉及一名所谓的谷歌支持技术人员联系用户。我不会像X平台上一位评论者所说的那样认为这是一个明显的迹象,即谷歌不为用户提供任何支持,但当谈到这些骗局时,这个说法并不离谱:谷歌不会无缘无故地这样联系你。“不要点击此对话框中的‘是’”,谭警告说,“你会被钓鱼。”
针对谭的诈骗案中,冒充的谷歌支持人员声称公司收到了死亡证明,并且有家庭成员试图找回其账户。换句话说,打电话的人只是确认接听电话的人还活着。“这是一个相当复杂的骗局,目的是让你允许密码恢复,”谭接着警告说,他注意到自己看到的账号恢复界面上有一个设备字段,显示的是一个谷歌支持工人的名字而不是实际用于访问该账户的设备名称。谭建议设计这个界面的人应该对相关的文本字段进行一些基本的正则表达式检查,甚至是基于人工智能的欺诈检测。“检验设备名称非常简单,”他总结道。诈骗的一部分涉及让谭重新添加他的手机号码作为验证过程的一部分以触发账号恢复对话框。然而,谭对此有所警觉:“我的SIM卡被更换过,所以我知道不能在我的账户里留下手机信息。”
欺诈者也被发现滥用谷歌表格(Google Forms),这是一个免费的在线工具,是 Google Workspace 的一部分,来创建看起来合法的文档作为支持骗局的一部分。通过将表单副本发送到目标地址,并使用 Google 表格的响应收据选项,该文档会通过真实的 Google 服务器发送,这增加了欺诈行为的真实性。检查电子邮件时会显示发件人为 workspacesupport@google.com 等等,这种做法有助于减少接收者可能有的任何警惕性。其中一个骗局就使用了这样的表单来模仿账户恢复密码重置表单,并告诉目标他们会收到一位指定支持代理的短信通知,并提供了一个用于验证号码的电话号码。这种双重合法性方法足以愚弄很多人的大多数时候。在这种情况下,唯一可能会暴露这个骗局的是一个令人困惑且过于复杂的密码重置过程,而只有足够警觉的人才能发现这一点。
米特罗维奇做了正确的事情,或者说至少是除了挂断电话之外的最好选择,他要求自称支持人员的人发送一封电子邮件确认——这封邮件不久后从一个谷歌域发送过来,并且看起来非常真实。此时他注意到收件人地址中包含了一个巧妙伪装的真实存在的非谷歌域名,但对不精通技术的人来说仍然可以轻易地骗过他们。
然而,米特罗维奇确信这一点的依据是在通话中对方打了招呼而没有得到回应后又再次打招呼。“这时我确定这是人工智能的声音,因为发音和间隔太完美了,” 米特罗维奇说。
值得一读原来的博客来自Mitrovic的报告包含了许多更详细的技术细节和侦探工作,而这些内容我在这个报告中没有足够的空间来覆盖。知识就是力量,这位顾问提供的威胁情报对于任何可能处于类似情况的人来说都是真正无价的:有备无患。
福布斯谷歌宣布为数百万用户推出新的Gmail安全措施截至戴维·温德
几乎可以肯定的是,攻击者会继续进行到所谓的恢复过程启动的地步,实际上这将是克隆的登录门户捕获用户凭据,并且很可能使用某种会话cookie窃取恶意软件来绕过两因素认证(如果存在的话)。
谷歌宣布已与全球反欺诈联盟和DNS研究联合会联手发起一项新的倡议,以打击骗子。 THE 文本中"THE"似乎是多余的或者不完整的句子成分,因此在翻译时予以省略。如果需要完整保留原文结构,请告知。全球信号交换将作为一个情报共享平台,专门针对诈骗和欺诈行为,提供网络犯罪供应链的实时洞察。作为全球信号交换组织的第一个创始成员,谷歌希望该平台能成为一种与不良行为者及其攻击相关的智能信号的全球集中处理中心。
谷歌信任与安全高级总监Amanda Storey表示,此次合作“利用了每个合作伙伴的优势。”鉴于GASA已经拥有广泛的感兴趣的各方网络,而DNS研究基金会则拥有一個包含超过4000万现有信号的数据平台,“GSE旨在改善滥用信号的交换,从而加快在各个行业、平台和服务中识别和中断欺诈活动的速度。”
最终目标,谷歌确认,是创建一个解决方案,该方案不仅要在几乎无法想象的互联网规模上运行,而且要高效且最重要的是用户友好。这意味着符合条件的组织将能够使用它来反击骗子。谷歌在这一领域已有丰富的经验,并长期通过建立合作伙伴关系来帮助打击欺诈行为。事实上,在新全球信号交换测试期间,谷歌已经分享了超过10万个恶意网址,并消耗了令人震惊的一百万条诈骗信号进行分析。“我们将从分享根据我们的骗局政策已采取行动的Google Shopping网址开始,”谷歌账户安全产品经理Nafis Zebarjadi说,“随着我们从试点中获得经验,我们将很快考虑添加来自其他相关Google产品领域的数据。”
福布斯2024年,你的笔记本电脑可以用烧烤打火机被黑客攻击截至戴维·温德
全球信号交换平台,或者至少是驱动它的引擎,运行在谷歌云上,以使所有参与者能够分享和利用情报信号,并“受益于谷歌云平台的AI能力,智能地发现模式并匹配信号”,Storey总结道。
AI换脸技术不仅用于制作色情和政治内容,也被用来实施看似简单的账号接管行为,比如在本案中。如果你接到自称是谷歌支持人员的电话,请保持冷静,他们不会通过电话联系你,因此这是一个明显的警示信号,挂断电话也不会对你造成任何伤害。利用你手头可用的工具,讽刺的是包括Google搜索引擎和你的Gmail账户,在通话过程中进行核实,如果你担心这可能是真的并且忽略它可能会带来危害的话。查询该电话号码,看看它是从哪里打来的。检查你的Gmail活动记录,看看除了你自己之外是否有其他设备使用了这个账号。注意谷歌对此类事件的说法。防范使用Gmail钓鱼诈骗的攻击者最重要的是,无论对话中注入了多少紧迫感,都不要让自己匆忙做出冲动的反应。正是这种紧迫感让攻击者能够动摇你正常的判断力,使你点击链接或泄露凭证。
福布斯Android、Chrome 和 Play Store 出售?32 页的谷歌末日文件引发安全担忧截至戴维·温德
我还会建议考虑加入谷歌的高级保护计划,该计划是为记者、活动家和政界人士等可能被视为高风险账户持有者的人设计的。高级保护计划的一个缺点一直是,它要求购买两个硬件安全密钥来登录账户。今年早些时候,当谷歌宣布将向高级保护计划用户添加通行证支持时,这一财务负担得以减轻。
这两种技术带来的保护措施相结合,使得对于拥有Google账户的人来说(包括所有Gmail用户),启用这一功能几乎成了必然选择。以下是原因:在任何设备上首次登录Google时都需要使用该密钥,这意味着即使黑客已经获得了你的用户名和账户信息,在没有存储该密钥的设备(即你的智能手机)以及所需的生物识别验证信息的情况下,他们也无法登录。结合高级保护计划注册,后者限制大多数非Google应用程序和服务访问你的Gmail帐户数据,这使得被钓鱼的密码和账户恢复变得更加困难。“如果任何人试图恢复您的帐户,”一位Google发言人表示,“高级保护会采取额外步骤来验证您的身份。”这意味着确认你是谁并重新获得对Google账户的访问权限可能需要几天时间。但这也意味着黑客无法轻易通过欺诈手段进入你的账户。