标签: Gmail

双重认证并非 100% 安全:新技术证实可成功入侵 Gmail 账号

安全专家上周四表示,近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗,并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统(2FA)。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险,尤其是通过SMS短信发送至用户手机的情况。 安全公司Certfa Lab的研究人员在一篇博客文章中表示,有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息,并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。 用户在虚假的Gmail或者Yahoo安全页面输入密码之后,攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护,则攻击者会将目标重定向到请求一次性密码的新页面。 Certfa Lab的研究人员写道:“换句话说,他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证,仍然能够欺骗目标并窃取这些信息。” 在一封邮件中, Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。   稿源:cnBeta,封面源自网络;

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;

第三方 App 曝隐私丑闻 竟允许员工阅读用户的邮件

新浪数码讯 7月3日上午消息,《华尔街日报》今日发表的一篇文章警告称,一些基于Gmail的第三方邮件App竟允许自己员工阅读用户的邮件,用以优化其服务体验。 第三方服务商被点名 这类第三方邮件解决方案提供商扮演的是用户和邮箱之间的角色:比如用户通过Gmail收邮件,但它的客户端App功能不完善(例如不能批量回复或发超大附件之类),所以第三方开发者做一种体验更好的方案给用户活企业选择。 华尔街日报提到一个叫“Return Path”的电子邮件解决方案供应商,这家公司曾与163个App有合作。两年前,他们允许员工阅读约8000封完整的用户邮件,用来训练自己的软件。 Return Path官网宣传语是“We Konw Email(我们了解邮件)”,现在看起来极具讽刺意味 另外还有个叫Edison Software的公司,他们曾在iOS平台开发过一款叫Edison Mail的App,也曾让员工阅读数百名用户的电子邮件,用来打造自己的“智能回复”功能。 没人看的用户协议 根据《华尔街日报》的消息,两家公司都没有要求用户获得阅读其电子邮件的许可,但他们都表示,用户协议中已经包含了这种做法。并且有权限阅读用户邮件的员工受到严格的管理,用户的具体信息也是被隐藏的。 《华尔街日报》在文采访了20多位电子邮件和数据公司的现任和前任雇员,还得知Edison、Return Path和其他第三方电子邮件服务也会用机器扫描分析电子邮件,这是一种常见的做法。 由于隐私原因,谷歌去年不再扫描Gmail用户的收件箱,但仍允许第三方软件开发人员这样做。而诸如雅虎(Yahoo)和微软(Microsoft)等其他电子邮件服务也会有类似的问题,他们可以在用户同意的情况下访问邮件内容。 虽说Return Path、Edison以及使用Gmail或类似电子邮件服务的其他开发人员似乎没有滥用客户隐私信息,但许多用户仍有担忧。 并且许多客户在注册第三方电子邮件App时,可能也没有意识到他们同意这种做法,因为很少有人会把用户条款仔细看完。此前就曾有安全专家说,互联网上最大的欺骗就是“我已阅读并同意这些条款和条件”。 不止是大公司才能收集用户数据 谷歌在一份书面声明中表示,它向第三方开发人员提供数据,这些开发人员经过审查,并得到用户的许可,可以访问他们的电子邮件。谷歌说,他们自己员工只在“非常具体的情况下,用户要求我们同意,或者出于安全目的,比如调查一个bug或滥用行为”才会阅读电子邮件。 但用户仍应警惕电子邮件App,因为谷歌在电子邮件方面没有强有力的用户保护措施。 这种第三方邮件App搭建过程并不复杂,开发者只要构建一个连接到Gmail账户的应用程序,并且允许访问Gmail收件箱(有点像给Gmail套了个壳),这款App开发者就可以看到收件箱的全部内容。 所以你看,不仅仅是大公司才能够获得用户数据——谷歌也允许个人创业者用,而且数据隐私保护政策可能会有所不同。 如果你对也担心这种情况,那就不要使用这种第三方邮件App,只用邮件服务商原生产品,或者仔细查看此App的隐私政策,并了解清楚数据使用情况。   稿源:,稿件以及封面源自网络;

暗网逾 2000 万 Gmail 账户、500 万 Yahoo 帐户可供销售

据悉,一个名为“ doubleflag ”的供应商在过去六年内至少从 11 个虚拟货币论坛盗取用户数据信息并在暗网出售。 经 HackRead 报道,BitCoinTalk、MtGox、Bitcoinsec 和 BTC-E 论坛数据信息均被窃取,主要包括用户名、电子邮件地址、电话号码、出生日期、位置和密码等。Doubleflag 声称整套数据大约价值 415 美元(合 0.3817 比特币)。 黑市网站销售记录显示,doubleflag 已成交超过 100 份订单,98% 获得“好评”反馈。目前,此类数据仍在大规模出售,主要来源于 Whois、Paddy Power、Experian、Brazzers、GTAGaming、Dota2、CDProjektRed、 XHamster 和 Lastfm 等网站或论坛的账户信息。 另一方面,几周前代号为“ SunTzu583 ”的供应商就销售了超过 100 万个 Gmail / Yahoo 帐户。随后 SunTzu583 再度提供了 64 万个 PlayStation 索尼游戏平台账号的报价 35.71 美元(合 0.0292 比特币)。最近,SunTzu583 还提供了另一份单独列表,其中包括售价 450.48 美元( 0.4673 比特币 )的额外 21,800,969 个 Gmail 帐户,以及售价 250 美元(合 0.2532 比特币)的 5,741,802 个雅虎帐户。 研究人员表示,多数被窃取帐户并非处于活跃状态,或由 MySpace、Adobe、LinkedIn 等数据泄露导致。暗网供应商提醒用户,并非所有登录凭据都可以正常使用。 稿源:ibtimes、securityaffairs, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Gmail 等多种谷歌服务无法在 Windows 10 最新版本上正常工作

微软最近发布的 Windows 10 build 15019 附带了一系列已知问题,其中一个问题导致用户无法访问多种 Google 服务(包括 Gmail )。这个问题只影响 Microsoft Edge 浏览器,Windows Insider 程序负责人 Dona Sarkar 表示,团队已经知道这个bug,并且正在努力解决这个问题,这个修复很可能在本周晚些时候推出。 Dona Sarkar 表示,某些 Windows Insider 内测者可能无法连接到某些 Google 网站,因为 Windows 10 build 15019 实施了一个新的安全模型,以进一步提高用户安全性。该团队正在研究这个问题,在此期间,用户可以从 InPrivate 标签访问这些网站。。 换句话说,如果内测者在连接到 Google,Gmail,Google 地图或任何其他 Google 服务时遇到问题,最简单的方法是切换到 InPrivate 标签或简单地切换到其他浏览器。此问题仅影响微软自己的 Edge 浏览器。另外,Microsoft Edge F12 工具也可能无法正常工作,并且可能崩溃或无法接受输入,因此如果 Edge 是用户的主要浏览器,则在更新到 Build 15019 之前,应该真正考虑这些问题。 稿源:cnBeta;封面:百度搜索  

Gmail 即将落实阻止 JavaScript 附件的政策,以减少恶意攻击

据外媒报道,Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起,用户将无法再添加 .js 类型的附件,因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件,攻击者可以利用它来获得 PC 的访问权限,窃取数据或执行其它破坏性操作。 Android Police 指出,JavaScript 已成为继 .exe .bat .msc 之后,被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件,但斩断直接发送的途径,对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求,也可以考虑通过谷歌网盘或云存储等方式,发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户,将会看到一则“禁止上传”的警告提示。 稿源:cnbeta 有删改;封面:百度搜索

新 Gmail 邮件钓鱼手段出现,特殊网址可窃取登陆凭证

网络犯罪分子正在利用特殊网址针对 Gmail 用户进行网络钓鱼活动。就算是安全意识高的用户也惨遭钓鱼,Gmail 账户登录凭据被窃取。 研究发现,这种欺骗手法也可被利用来从事其他钓鱼活动。 这些钓鱼邮件来自受害者的邮箱联系人,从一开始就降低了受害者的防备心理。邮件中含有一个伪装成可被 Gmail 预览的 PDF 附件,点击预览后,会自动打开浏览器并跳转网页。 data:text/html,https://accounts/google.com 通过 URL 判断,这个网页看似是真的,是 Google 域名下的账户登录网址。网页显示的登录界面也找不出啥毛病,且浏览器没有显示任何证书警告! 剩下的不说也知道结果了,受害者登录 Google 账号后马上被攻击者盗取,所有和账号相关的文件、邮件、联系人都存在泄漏的风险。 对于需要输入账号和密码的网页我们尤其要小心,其实当你把地址框拉开你会发现,URI 后还有一长串文本块其中包含着完整的文件。浏览器最左边显示的也不是常见的“ HTTPS:// ”而是“ data:text/html ”。 钓鱼网址 正常的网址 通过对比发现,它们之间还是有很大的不同,Google 已启用 HTTPS 加密,加密的绿色标志会在左部显示且还会有一个锁的图标。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

研究员发现 Gmail 严重漏洞:账号可被轻易破解

据外媒报道,日前,来自巴基斯坦的一名学生、安全研究员在Gmail上发现了一个严重的漏洞,它能让邮箱账号遭到轻松破解。据了解,该漏洞跟Google的Gmail主账号和其他邮箱账号绑定处理方式有关,在Google修复该问题之前,黑客只需采取几个步骤就可能拿下某位用户账号的使用权。如果黑客知道了某位用户跟Gmail账号绑定的二级邮箱账号,那么他只需要向特定收件人发送一封账号验证邮件即可获取主账号。 发现者Ahmed Mehtab列出了详细的漏洞利用条件: 收件人的SMTP处于离线状态; 收件人已停用其邮箱; 收件人不存在; 收件人存在但已屏蔽发件人。 在HackRead 上 Uzair Amir分享了该种攻击具体的实施过程: 攻击者企图通过向Google发送邮件获取某一邮箱账号的所有权。Google会向被目标邮件地址发送一封认证邮件。但由于该邮箱账号无法收取该封邮件,于是账号就会发回到实际发送者(即黑客)手中,(此时)邮件中则还提供了验证码。黑客就可以利用这个验证码并获得该账号的所有权。 Mehtab则以更加具体的形式解释说明了该攻击过程: 攻击者试图获取xyz@gmail.com的所有权; Google向xyz@gmail.com发送确认邮件; 由于xyz@gmail.com无法收取邮件,于是邮件被退还至Google系统; Google向黑客发送失败通知邮件并且在当中提供了验证码; 黑客获得验证码然后拿下了xyz@gmail.com的所有权。 稿源:cnBeta.com,封面来源:百度搜索