0800-000-964

小心來自「[email protected]」的 email，它現在可能是駭客網路釣魚

取自：科技報橘

聯播：吉傳媒

贊助廣告 jAD Ads 內容比對

傑愛得資訊資安雲服務：網站主機結合AI智能巡佐，有效阻擋DDoS、CC攻擊，強化會員個資安全性。 ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員認證。

您好，我們是傑愛得資訊，歡迎來到我們的媒體聯播網

AI 研究室 | 智庫

廖紹伶 2025-04-22

小心來自「no-reply@google.com」的 email，它現在可能是駭客網路釣魚

釣魚手法不斷翻新，近期資安研究人員揭露，駭客正透過一種精心設計的手法，利用 Google 自家通知系統與網域服務，發送看似來自 [email protected] 的詐騙郵件，目的在騙取使用者的帳號密碼。

這波攻擊被稱為「DKIM 重送釣魚攻擊（DKIM replay phishing attack）」，特別具有混淆性，因為郵件通過 Google 的驗證機制 DKIM，讓收件者誤以為寄件者是 Google，但實際上是駭客。

看似 Google 的安全警示，其實是駭客自導自演
據《TechRadar》與《Bleeping Computer》報導，以太坊域名服務（ENS）的主要開發者 Nick Johnson 收到一封看似來自 Google 的郵件，聲稱他的帳戶內容遭到執法單位要求調查。信件使用 Google 官方地址 [email protected] 發送，並夾在其他 Google 安全警示通知之中，真假難辨。

下方繼續閱讀

jAD Ads 聯播廣告

曝光6,625/日成本100/月

下文請點廣告解鎖

投放Google多媒體聯播網廣告(點此)arrow_downward，包含轉換代碼安裝

※ 如果看到投資類型廣告，請再三評估風險！

繼續閱讀keyboard_double_arrow_down

透過 Google 系統轉發的網路釣魚電子郵件。圖片來源：Nick Johnson。

Johnson 進一步調查發現，該郵件的實際寄件人並非 Google，而是駭客成立了一個 Google OAuth 應用程式存取 Google Workspace 中其電子郵件地址的權限，這時 Google 會自動向該郵件發送的安全警報，而駭客再加以轉寄。

具體做法是，駭客先註冊一個域名，建立一組名為 me@domain 的 Google 帳號，再建立一個 OAuth 應用。此外，駭客在應用程式的名稱欄位填入整段釣魚訊息，並加入大量空白字元，將 Google 真正的通知內容擠壓到畫面最下方。

當這個應用獲得存取權限後，Google 便會寄出一封自動通知信給該信箱，而該信的標題與內容如前述，幾乎完全由駭客控制。接著，駭客將這封看似由 Google 發送、並已通過驗證的郵件轉寄給受害者，成功繞過傳統垃圾郵件過濾機制。Johnson 表示，「由於 Google 產生了該電子郵件，因此它是使用有效的 DKIM 金鑰簽署並通過所有檢查的。」

釣魚登入頁面建於 sites.google.com，更具可信度
更具誘騙性的是，該釣魚郵件內含的連結，網站託管在 Google 免費的網頁建置平台 sites.google.com，而非一般可疑網址。Johnson 指出，這個「假入口」幾乎完整複製 Google 登入頁面，唯一破綻就是它的網域並非 accounts.google.com。雖然這對非技術使用者來說幾乎無法辨識，但顯然網域仍是一個重要辨識點。

假 Google 入口網站。圖片來源：Nick Johnson。

根據《Bleeping Computer》，Google 驗證系統中的一個弱點是，DKIM 驗證機制只檢查郵件的內容與標頭資訊（例如寄件人名稱、主旨），不檢查傳送封套，也就是實際傳送路徑與真正的寄件人，因此，駭客的信件能順利被認定為來自 Google 系統所發。

此外，駭客設計一個 email 帳號叫做 me@某個網域，而 Gmail 在顯示郵件時，會把收件人簡化為「me」，這會讓收件者誤以為這封信就是寄給「自己」的，增加誤判機率。

email 的標題顯示真實收件者和收件地址。圖片來源：Nick Johnson。

相同手法也出現在 PayPal 平台
這套攻擊手法不僅限於 Google。根據《Bleeping Computer》追蹤，今年 3 月有釣魚集團針對 PayPal 用戶發動類似攻擊。駭客在新增 PayPal 帳號時，將釣魚訊息寫入帳號名稱欄位，再利用 PayPal 的「禮物地址」選項綁定該帳號，觸發由 PayPal 發出的確認信。

這封確認信經 DKIM 簽章驗證，與 PayPal 官方信件無異，駭客再將該信轉寄至公開郵件清單或目標名單，以誘騙受害者登入仿冒網站，輸入帳號密碼。

Johnson 已向 Google 提出錯誤報告，Google 回應已著手處理 OAuth 權限機制的防護問題。

點此投放Google多媒體聯播網廣告

※ 如果看到投資類型廣告，請再三評估風險！

點 AI 專欄推薦

post_add 資料來源：科技報橘

回智庫 apartment | 超玩媒

#GOOGLE

駭客

Ads by jAD

網站+主機+網域+廣告，找我們一次解決

傑愛得資訊領先業界

國際認證獎項報導

我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊

─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

explore 發展趨勢

bookmark_star 查看資歷

【2024年亞太區年度AI廣告科技公司 AI Advertising Technology Company of the Year in APAC 2024】封面人物，榮獲MarTech Outlook期刊評選
【2024年全球十大最具影響力的領導人 Top 10 Best Global Influential Leaders of 2024】榮獲Business Frontier雜誌評選
【2024年值得關注的30大領先企業 30 Leading Companies to Watch 2024】榮獲CIO Bulletin期刊評選
【2023年最具啟發性的企業領袖總裁】榮獲CXO Outlook美國期刊評選
【2023年亞太區20大傑出AI人工智慧供應商】榮獲《APAC CIO Outlook》矽谷科技期刊評選
Google Ads 全台灣第一個金融業智慧出價2.0成功案例。
多年數位行銷經驗，為Google Partners徽章認證經銷，代理Google, Facebook, Dcard, Microsoft, Yahoo apollo，並提供旗下jAD Ads聯播網廣告。
擁有AI數位廣告技術專利。全台灣第一家擁有專利的廣告代理商。
全台獨家推出 Google語音助理專用廣告。
2018年台灣地區Google Ads帳戶優化品質第一。
每月代客操盤數位廣告投放金額達800萬台幣。Google Ads代理累計超過4億台幣+。
回饋Google官方協助Google Ads廣告系統優化與無效點擊分析。
參與過多次台灣地區選舉網路廣告，2018年為候選人輔選衝出第一高票，當選率100%。
曾為某家無品牌客戶三年內在網路上陌生開發一億業績。
曾為企業旗下三網站在Yahoo!奇摩搜尋引擎優化SEO，自然搜尋關鍵字排名前三名(第一名~三)。
旗下經營自媒體與電商。
曾研發Yahoo!關鍵字廣告惡意點擊反擊程式。
曾為客戶品牌行銷，透過搜尋行銷SEM讓關鍵字在產業TA形成Google熱搜。
領先業界研發網站人潮之網頁定點閱讀率分析。
領先業界研發網站全通路人潮分析系統，直接於訂單中分析客戶來訪的廣告來源(搜尋/FB/LINE/WeChat)、客戶搜尋的關鍵字、客戶點閱的廣告文案。
為全端網站設計團隊，並具有多年網路行銷經驗。
擔任企業網路行銷顧問講師，專門破解同業暗黑行銷術。提供網醫數位行銷診斷服務

立即聯絡

Google數位行銷服務關鍵字搜尋聯播網廣告 GDN 多媒體聯播網廣告 YouTube 影片聯播網廣告 Performance Max PMax最高成效廣告購物廣告智慧型廣告探索廣告應用程式廣告 motion_sensor_active 轉換追蹤規劃設定服務類別 AI 網路廣告 AI 網站系統 AI 雲端主機 AI 人工智慧 AI SEO優化站內搜尋 medication 網醫診斷 AI客服 LINE id: @vhp8681s [email protected] 傑愛得資訊 Jump AD 聯絡： 0800-000-964 WeChat id: godzilla1128
			聯絡我們