UPPDATERAD 15 mars 2017 med information om att Google har uppdaterat webbläsaren Chrome för att göra attacker som denna lättare att upptäcka.

En ny stil av phishing-attack inriktning på Gmail-användare bekräftar de bästa lättanvända råd som vi erbjuder alla: Slå på tvåfaktorautentisering. Den senaste attacken syftar till att lura användare att ange sina inloggningsuppgifter med en webbplats som ser ut precis som Googles inloggningssida.

Kredit: pathdoc / Shutterstock
(Bildkredit: pathdoc / Shutterstock)


Den här nyheten kommer till oss från WordPress-säkerhetswebbplatsen Wordfence, som rapporterade attacken förra veckan och noterade att den började 2016. Företaget konstaterar att nätfisketekniken har drabbat "erfarna tekniska användare" under de senaste veckorna, vilket tyder på att även kunniga användare kan bli offer om de inte tittar noga nog.

MER: Handbok för mobil säkerhet: Allt du behöver veta

Användare dirigeras till denna kapningssida genom att klicka på en bild i ett e-postmeddelande som är utformat för att se ut som Gmails bifogade gränssnitt. Nästan allt på kapningssidan är perfekt förutom dess URL, som börjar med "data: text / html", som borde vara en röd flagga för örnögda användare.

Upphovsman: Wordfence
(Bildkredit: Wordfence)


Enligt en diskussionstråd på tekniskt forum Y Combinator, efter att användarna har angett sina Google-lösenord på den falska inloggningssidan (som använder alla samma animationer som den verkliga), blir deras Gmail-konton omedelbart äventyrade. Det är oklart om angriparna använder en automatiserad tjänst för att utföra kontoövertagningar så snabbt, men när de är i ditt e-postkonto vapen de kontot för att attackera andra användare.

Vad kan du göra

Användare kan, som vi har sagt, skydda sig själva genom att använda Googles tvåfaktorautentisering (2FA) som skulle kräva att alla som loggar in på kontot från ett okänt konto tillhandahåller en andra verifieringsobjektet, till exempel en kod som skickas av Google till den legitima användarens mobiltelefon eller en fysisk USB-säkerhetsnyckel som den legitima användaren bär.

För att aktivera 2FA loggar du först in på Google och besöker sedan Mitt konto klicka på "Logga in på Google" och klicka på "2-stegsverifiering."
Nyheter om denna senaste nätfiskebedrägeri är en möjlighet att påminna läsaren om att aldrig återvinna lösenord. Även om ditt Google-konto kan skyddas av 2FA kan angriparna försöka logga in på andra webbplatser med samma användarnamn och lösenordskombination, bara för att se vad som fungerar. Se till att ingenting fungerar med hjälp av a lösenordshanteraren för att skapa unika och svårt att gissa lösenord.


Slutligen, kontrollera alltid webbadresserna till sidorna du tittar på för att leta efter ledtrådar som strängen "data: text / html". I Chrome ska du inte ange ditt användarnamn och lösenord på någon sida som inte har en grön låsikon i början av adressfältet.

UPPDATERING: Wordfence har uppdaterat sitt blogginlägg för att notera att en uppdatering till Google Chrome klargör att webbadressen som nås i denna bluff kan vara skadlig genom att visa "NOT SECURE" i adressfältet.

  • 12 Datorsäkerhetsfel du förmodligen gör
  • Bästa mobila lösenordshanterare
  • 10 sämsta dataintrång genom tiderna

Få omedelbar tillgång till senaste nyheterna, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.