Google針對全球Gmail使用者發出警告：點開詐騙郵件恐洩個資還被盜刷

一、事件簡述

全球擁有近20億用戶的熱門電子郵件服務Gmail，近日遭遇一種新型網路詐騙。「no-reply@accounts.google.com」的詐騙郵件。這類郵件外觀極為逼真，寄件人地址看似正規，甚至能通過Gmail的驗證機制，讓許多使用者誤以為真的是Google官方發送的通知。根據多家媒體與資安公司調查，這些郵件的內容多以「法律傳票」、「帳號安全風險」、「必須立即驗證帳戶」等名義，誘導使用者點擊內文的連結，進而輸入帳號密碼或授權惡意應用程式，造成帳號與個人隱私資料外洩或盜刷。

 

Google 官方隨即發布公告，提醒使用者這是一場「極具欺騙性的全球性釣魚攻擊」，並建議立刻刪除此類郵件，不要回覆，更不要點擊信中的任何連結。

 

二、詐騙郵件的特徵

1.寄件人名稱與地址

外觀顯示為no-reply@accounts.google.com，這是Google官方常用的寄件信箱，增加真實感。

但實際郵件標頭中的「mailed-by」或「signed-by」欄位，往往出現與Google無關的伺服器。

 

雖然頁面長得跟Google登入畫面一模一樣，但要求帳戶安全檢查頁面的連結網址，其持有人卻不是Google。如下圖紅框處，要求重設密碼的頁面，其網址本應顯示有google.com的字樣才對。

 

2.郵件內容結構

郵件標題通常包含「執法機關要求提供資料」、「安全警告」、「必須立即回應」等字眼，製造緊迫感。

內文格式模仿Google的官方安全通知，包括Logo、配色、排版、支援中心連結，讓人難以辨認真假。

 

3.惡意連結

信中按鈕或連結指向sites.google.com或其他看似合法的網域。

點擊後會跳轉至偽造的Google登入頁面或授權頁面，要求使用者輸入帳號密碼，甚至允許「應用程式」存取郵件內容。

 

4.技術偽裝

詐騙者利用「DKIM replay 攻擊」，將合法郵件的簽章重複使用，使該郵件通過Gmail的驗證。

因此，即便收件人查看郵件來源，也可能誤以為這是合法郵件。

 

三、為什麼這波詐騙更危險？

以往的釣魚郵件多數能被Gmail自動過濾，但這次攻擊手法更高明：

1.冒充官方網域：利用Google自家服務（如 Sites、OAuth）來寄送或承載惡意內容。

2.合法簽章重播：郵件經過DKIM/DMARC/SPF驗證，幾乎「天衣無縫」。

3.插入舊郵件對話串：詐騙郵件甚至會被夾在使用者過往收到的 Google 安全通知中，讓人難以辨識。

4.跨國規模：根據資安公司統計，受影響的Gmail使用者遍布美國、歐洲、亞洲，包括台灣在內。

 

四、Google的回應

Google已確認這是一起新型的全球詐騙活動，並表示：

強化過濾系統：Google 正在更新Gmail的演算法，封鎖可疑郵件來源。

用戶提醒：透過官方部落格與新聞稿，提醒使用者不要點擊郵件中的連結。

 

建議措施：

啟用兩步驟驗證（2FA）。

使用密碼管理工具，避免重複使用密碼。

定期檢查「Google 帳戶 → 安全性 → 第三方應用程式存取權限」，移除可疑授權。

 

五、常見問題與解析

1.為什麼寄件人看起來是真的？

因為詐騙者利用「合法簽章重播」，讓郵件通過Gmail的驗證機制。

 

2.如何確認郵件真假？

點擊「顯示原始郵件」，檢查「mailed-by」與「signed-by」欄位是否為google.com。

官方Google郵件通常只會導向accounts.google.com，而不是sites.google.com。

 

3.如果我已經點擊了怎麼辦？

立即修改Google密碼，並檢查帳戶活動紀錄。

若曾授權陌生應用程式，請到Google安全中心撤銷存取權。

開啟兩步驟驗證，防止未來遭盜用。

 

六、如何防範類似詐騙？

務必養成查看郵件來源的習慣。

不要在郵件內點擊連結，建議自行輸入網址，例如myaccount.google.com。

保持警覺心：若郵件語氣過於緊急或恐嚇，通常是詐騙。

安裝防毒軟體或瀏覽器防護外掛，以增加安全性。

定期關注Google官方公告，瞭解最新詐騙手法。

 

七、事件帶來的啟示

這次事件顯示，駭客已不再僅依靠低級釣魚，而是能熟練利用科技公司自有的基礎設施來展開攻擊。這對使用者與平台方都是一大挑戰：

對一般使用者而言：僅靠「看寄件人」已無法辨識真假，必須進一步學會檢查郵件簽章與來源。

對Google而言：如何防止自家服務被濫用，是新的難題。

對企業與政府：資訊安全教育與演練必須加強，否則員工或公務人員誤點郵件可能導致重大資安事故。

 

八、總結

「no-reply@accounts.google.com」詐騙郵件事件，是近年最具代表性的高級釣魚攻擊之一。它突破了傳統的垃圾郵件過濾機制，甚至能混淆最警覺的使用者。此次事件提醒我們，資訊安全不僅僅是依靠科技公司的防護，更需要每位使用者提高警覺，培養安全習慣。只有如此，才能在這個網路詐騙日益複雜的時代，保障個人與社會的數位安全。