经常关注我们 Wordfence 的用户会发现，我们网站会不定时的，发布一些关于 WordPress 之外的安全问题警报。这些警报大多都是，我们认为非常紧迫，急需解决的一些安全问题。在这篇文章中，我们将向广大的客户及读者用户，发出一项新的威胁告警。一种更加隐蔽有效的网络钓鱼技术，正试图骗取 Gmail 用户账户信息。它不仅针对那些普通用户，那些经验丰富的高级用户，也受到了不同程度的影响！

为了让大家尽可能的阅读和理解这篇文章的内容，我对文章中的一些技术细节，做了细微的处理和简化。希望大家在阅读完该文后，能保护自己免受这种网络钓鱼攻击，避免给自己带来不必要的损失和麻烦。

钓鱼攻击：你所需要知道的

一项针对 Gmail 和其他服务的新型网络钓鱼技术，在过去的一年里，正受到越来越多攻击者的青睐。在过去的几个星期里，有媒体报道称，该网新型络钓鱼技术，不仅针对那些普通用户，即使是那些有着丰富经验的网络技术人员，也难于幸免！

此类攻击的目标不仅仅是 Gmail 用户，它还包括一些其他服务。

攻击的实施过程，依旧是老套路。攻击者首先会向你的 Gmail 帐户发送电子邮件。该邮件的发信人，可能是你某个熟悉的人。黑客可能利用了同样的钓鱼技术，窃取了你熟人的邮箱，并以此来冒充。也可能是一封包含了图片附件的邮件，而这张图片可能是你认识的某个熟人的照片。

当你点击图片准备预览时，它会打开一个新的标签页。此时，Gmail 会提示你重新登录。你可以查看地址栏的 URL 信息，你会看到一个几乎一模一样的 Google 账户登录网址：accounts.google.com。如下图：

接着，你会看到一个 Gmail 的完整用户登录界面，如下：

完成登录后，你的帐户也就意味着已经被攻击者，成功盗用！Hacker News 的评论者，详细地描述了他们在无意点击该钓鱼页面后，所发生的一切：

“攻击者在获取登录凭据后，会立即登录你的帐户。并冒用你的名义，向你联系人列表中的好友，群发钓鱼邮件。

例如，他们进入一个学生的帐户，截取一张运动队练习时间表，并以附件和对应主题的形式，通过电子邮件发送给运动队的其他成员。“

通常，在成功获取到你的登录凭据后，攻击者都会在很短的时间内登录到你的账户。他们可能是利用某些程序，来自动批量登录。也可能是通过一个专业的账户处理团队，来完成。

一旦攻击者成功登陆到你的账户，他们就自动获取到了你所有邮件的访问接收及发放权限。攻击者还会利用密码重置机制，来修改你使用该邮箱绑定的其他一些服务密码。

以上我描述的是，用于窃取Gmail上的用户名和密码的网络钓鱼攻击，它的成功率非常高。然而，这种技术不仅限于钓取 Gmail 账户信息，它还可以用于从许多其他平台窃取凭证，在基本技术实现上，它的变化非常多样化。

如何保护自己，免受这种网络钓鱼攻击

总有人会告诉你说：“想要避免进入一个钓鱼网站，你需要仔细的检查地址栏的 URL 地址，是否为正确的网站的地址，以确保账户信息的安全。”

在上述攻击中，你完成了上述操作，并在地址栏中看到了正确的 URL 地址“accounts.google.com”，因此你会放松你的警惕并点击登录。

为了更好的避免遭受到这类钓鱼攻击，你可能需要改变你的检查策略。例如这类钓鱼技术，使用一种被称为“数据URI”的东西，它会在你的浏览器地址栏包含一个完整的文件，类似 ‘data：text / html …..’，看起来如下图那样：

从我红色箭头指向的地方开始，我们可以看到有一段非常长的文本块。这实际上是一个在新标签页中打开的文件，用于创建一个完整功能的假 Gmail 登录页面，并接收用户的输入内容发送给攻击者。

正如你所看到的，在地址栏的最左边你看到的是以“data：text / html”开头的 URL ，而紧随其后的则是正常的“https：//accounts.google.com…”网址。此时，如果你稍不注意，就会忽略开头的这段 ‘data：text / html’ ，并误以为该 URL 是合法的网站地址。

如何保护自己

当你登录任何服务时，务必检查浏览器地址栏并验证协议及主机名是否匹配正确。在登录 Gmail 或 Google 时，在 Chrome 浏览器中应该显示如下：

请确保主机名“accounts.google.com”（“https：//”除外）和锁定符号之前，没有任何内容。你还应特别注意，左侧的绿色标识部分。如果你无法验证地址栏的协议及主机名，那么请马上停止你的操作，并仔细回想下刚刚你点击了什么。

如果你使用的那些服务都支持双因素身份认证，那么请务必开启双因素身份认证。在 Gmail 下被称为“两步验证“，你可以在此页面上了解如何启用它。

启用双因素身份验证，将会大大增加攻击者登录你账户的难度，即使他们已经窃取了你的账户密码，也不一定能成功登录你的账户。值得注意的是，我看到一些关于双因素身份验证的讨论，认为即使启用了双因素身份验证，也将无法避免此类攻击。但我没有看到一个概念的证明，所以我不能证实这一点。

为什么 Google 解决不了这个问题，以及他们应该做什么

Google 对用户的问题做了以下回应：

“地址栏仍然是浏览器的几个可信 UI 组件之一，并且也是唯一一个可被信赖的，用于判断当前用户访问来源可靠性的依据。如果用户仔细查看地址栏的内容，那么钓鱼和欺骗攻击，显然是微不足道的。但不幸的是，这是网络的工作原理，任何修复都是基于检测它们的外观来进行的，但想绕过这种检测却很容易，有上百种方式可以选择。数据：URL 部分在这里没有那么重要，因为你可以在任何 http [s] 页面上进行钓鱼欺骗。”

但是我并不认同 Google 的这个答复，有以下几个原因：

Google 已经修改了地址栏的行为，当用户打开的网页使用的是 HTTPS 协议和拥有锁定图标时，将会以绿颜色标识协议，以表示当前用户访问的为安全合法网站。

当页面不安全时，他们则会使用不同的方式显示协议，并用一条斜线将其标记为红色：

而在这次攻击中，用户既看不到绿色，也看不到红色。 他们看到的只是黑色文本：

这就是为什么，这种攻击能如此有效的最好说明。在用户界面设计和人类感知中，通过统一的视觉特性连接的元素，被感知为比不相连的元素更相关。

这就是为什么这种攻击是如此有效。 在用户界面设计和人类感知中，通过统一的视觉特性连接的元素被感知为比不相连的元素更相关。 [阅读更多：Gestalt 人类感知原则 和“统一连接”及内容盲点]

因此，当 ‘data：text / html’ 和可信主机名颜色相同时，我们的感觉就是它们是相关的，这和 ‘data：text / html’ 部分是否多余，已经没有多大的关系了。

在这种情况下，Google 需要改变浏览器中显示的“data：text / html”的方式。可以采取一些不同颜色和图标来标识它们， 这将起到一个视觉感知上的差异，并提醒用户仔细检查 URL 地址栏，更好的保护用户的权益。

如何检查你的帐户是否已遭到入侵

目前没有特别好的办法，来检查你的账户是否已经遭到非法入侵。如果你怀疑你的账户已经被其他人盗用，那么你可以立即更换你的密码。最好能保持每隔一段时间，就更换一次密码的习惯。

如果你使用的是 Gmail，你可以通过检查你的登录活动，来了解是否有其他人正登录和使用你的帐户。有关信息，请访问 https://support.google.com/mail/answer/45938?hl=zh_CN。要使用此功能，请滚动到收件箱底部，然后点击“详细信息”（在屏幕的右下角）。这将显示你账户，当前所有的会话活动以及你最近的登录历史记录。如果你发现有未知来源的的登录活动，你可以强制关闭他们。如果你发现，你在一些自己不知道的地点登录过，则表示你的账户可能已经被黑客盗用。

在这里我向大家推荐一个，可以用来检查你的电子邮件帐户是否泄漏的网站 https://haveibeenpwned.com/。这个网站是由著名的安全研究员，Troy Hunt 创办的。使用起来也非常的简单，只需输入你的电子邮件地址即可。

总结

在打开一个网站后，一定要仔细的检查该页面的 URL 地址，看看是否多了一些不该有的内容，或被浏览器标红警告。除此之外，我建议大家在进入一些关键性网站时，最好采用手动输入的方式，或通过搜索引擎查找有绿色官方验证标识的网站。同时，对一些重要的账户密码，进行定期的密码更换。希望通过我的简单介绍，能提高大家的安全防范意识，避免遭遇类似的网络钓鱼攻击！