Gmail遭间接提示注入攻击威胁

谷歌警告Gmail用户：间接提示注入攻击威胁账户安全

近日，谷歌针对其18亿Gmail用户发布了新警告，提醒他们注意Gmail地址面临的风险以及如何保护账户安全。新型网络安全威胁“间接提示注入”正在被黑客利用，将恶意指令隐藏在电子邮件中。

尽管谷歌已确认近期黑客入侵其使用的Salesforce数据库系统，泄露部分客户及公司名称，但该公司强调泄露的数据主要为公开信息，不涉及用户密码，且仅影响企业账户，不包括个人用户账户。

然而，使用Google服务的用户（包括Gmail和Google Cloud）最近却报告了网络钓鱼（phishing）和电话钓鱼（vishing）攻击频率明显上升。有用户称接到来自美国区号650的诈骗电话，声称来自Google安全团队，并告知其账户存在安全漏洞。骗子会诱导用户重置密码并将新密码提供给他们，从而接管受害者的Gmail账户。

此外，还有报道称黑客正在使用一种名为“悬空存储桶”（dangling bucket）的攻击手法，尝试通过过时的访问路径向Google Cloud账户注入恶意软件，或直接窃取数据。无论是哪种方式，都显示出黑客正越来越频繁地同时针对企业与个人用户发动攻击。

为了保护自己，谷歌建议用户提高警惕，不要点击任何不明邮件或短信中的链接，也不要向陌生人透露个人信息。此外，还可以采取以下措施增强账户安全：

• 使用Google的安全检查工具（Security Checkup），获取账户安全建议并自动识别可能存在的漏洞。
• 启用高级保护计划（Advanced Protection Program），增加一层防护，阻止恶意文件下载，限制非Google应用访问Gmail数据。
• 使用优秀的密码管理工具来保护密码，为Gmail账户启用双重验证（2-Step Verification），尽可能切换使用更安全的密码密钥（passkeys）登录方式。

请记住，谷歌永远不会通过电话联系用户，告知安全漏洞或数据泄露问题。任何声称来自谷歌的电话或邮件都需要谨慎对待。

阅读本文之前，你最好先了解...

为了更深入地理解这段警告和如何保护自己，你或许需要先了解以下一些概念：

• 间接提示注入攻击: 这种新型攻击手法利用了程序处理信息的弱点，将恶意指令隐藏在看似无害的文本中。当用户访问包含这些指令的网页或执行相关文件时，恶意代码就会被自动执行，从而窃取数据、安装木马或控制用户的设备。
• 网络钓鱼(Phishing) 和电话钓鱼(Vishing): 这些攻击手段通常通过伪造电子邮件或电话来欺骗用户，诱导他们透露敏感信息如用户名、密码或银行卡号。诈骗者经常冒充知名公司或机构，利用社交工程技巧获取用户的信任。
• 悬空存储桶(Dangling Bucket): 这种攻击手法利用了Google Cloud平台中的旧访问路径漏洞。黑客通过这些过时的路径试图注入恶意软件或直接窃取数据，即使用户没有主动点击任何链接。

谷歌的安全建议 旨在帮助你避免上述威胁，但最终保护自己仍然需要你的警惕和积极参与。

如果你有其它意见，请评论留言。