小心! 別被Google Docs網釣郵件騙了

如果最近有人以電子郵件邀請你編輯文件，千萬要小心。 昨天下午起，Google Docs網釣攻擊在網路上迅速蔓延開來，以騙取用戶登入帳密， 同時成為發送網釣的幫兇。所幸Google迅速掙取措施化解了一場網路危機。

根據用戶在Reddit分享的經驗，受害者會接到看似友人傳來Google Docs要求編輯文件的Gmail電子郵件，仔細一看，這封信同時還BCC其他人。等用戶按下郵件中「在Docs中開啟文件」的連結， 就跳出真實的Google登入對話框，要求用戶在數個Google帳號中選擇以其中一個帳號進入Docs，同時有另一個Google OAuth核准頁面，要求用戶授權「Google Docs」存取Gmail帳號，包括寄發、刪改電子郵件， 以及讀取他聯絡人資料的權利。 

用戶按下「允許」後， 才會發現有個不知名的電子郵件擁用者（而非Google）已經獲得了受害者的Docs存取權。而且這封網釣郵件，也同樣經由受害者Gmail帳號發送給其他聯絡人。 

多家國際媒體報導，這透過社交工程的網釣郵件攻擊，昨日已經迅速在網路快速蔓延。Ars Technica分析，這樁網釣攻擊是利用OAuth驗證介面，許多Web服務也使用這個介面，讓用戶在登入時不必輸入密碼。透過OAuth介面的運用，攻擊者成功繞過任何雙因素驗證，即取得讀取、修改或刪除用戶帳號下內容的權利。 

所幸Google立即採取處置。Google在推特上表示已經注意到Google Docs網釣攻擊，並且立即移除了偽造的Google Docs及所有相關網頁，更新Safe Browsing的威脅偵測功能，並關閉OAuth用戶端的功能。 

Google及安全專家呼籲，用戶應提高警覺，不要隨便開啟可疑郵件，尤其是大量BCC的郵件，並應開啟多因素驗證，提高駭客存取帳號的困難，同時立即變更密碼。萬一不小心點入，可以到Google存取控管頁面取消外部人存取Google Docs的權利。