小心上当：谷歌电邮钓鱼 假网页仿真度高

　　去年起出现针对谷歌（Gmail）使用者的“钓鱼”（phishing）袭击，近数星期更有增加趋势，不少用户偶一不慎就遭到入侵。专家忠告电邮用户，要提高警觉，不能掉以轻心。

　　据网络安全网站Darkreading的文章指出，这种钓鱼袭击是向Gmai用户发出电邮，并附有使用者原有的联系电邮地址、标题及图像。当用户点击图像时，便会出现一个新网页，要求用户重新登入。由于所显示的假Gmail网页仿真度高，服务使用者以为安全，如常打入户口名称及密码登入，便会被攻击者入侵，盗取用户所有来往的电邮。

　　谷歌发出声明指，正在处理有关攻击，早已获悉此问题，并会加强防御功能，同时提供协助用户防止攻击者的方法，包括辨别入侵者发出的讯息，对电邮及网页提供安全浏览警告，以及预防可疑户口登入等。而用户可以启动两个确认步骤，加强保护电邮帐户。

　　可设二重认证加强辨识

　　网络安全专家慕达说，面对这些钓鱼袭击要格外小心，用户登入前，须看清楚电邮内所显示的发出者名称，并加以求证。同时，在登入时设定二重步骤的认证方法，可以加强辨识，减低被入侵的风险。

　　另有网络安全商业发展的企业副总裁卡柏斯表示，传统的浏览服务器未能辨别一些欺诈网站的存在，使用者应看清楚这些网站是否显示 HTTPS://，或在URL上锁标记。其实谷歌这方面已快人一步，通过Chrome提示某些网站有潜在危险。

　　卡柏斯认为，有众多用家甚至是科技专家会留意这方面，以为没有标示为危险网站，确信是安全而登入。现时应该反思沿用这些讯息，能否确定是否来自危险网页，成为入侵者误导使用者的方法。

　　业界：点击前应查证真伪

　　有指针对Gmail使用者的“钓鱼”袭击有增加趋势，从事资讯科技的萧振华认为，钓鱼袭击已非新入侵方法，但公众仍需须提高警觉性，对于看似熟悉的电邮，信内要求点击或下载，应该先向认识的人或机构查证是否对方发出，一些来历不明的电邮，更要即时删除，避免被不法人士入侵盗取电邮资料。

　　萧振华指出，这类钓鱼袭击发出的电邮，有时表面看来是由政府机构、银行或生意商户发出，要求收信人回应或下载。入侵者在网络上搜索电邮用户名称，然后广泛发信，只要有一个电邮作回应，便可以取得对方的资料，继续进行袭击行动。

　　萧振华指，部份“钓鱼信”是假装税局发给纳税者，或银行询问交收项目是否需要收据等情况，安全的做法是致电税局或银行，查证是否有发出电邮，而不是随便在电邮回复。他指，真实中大部分同类情况，是纳税人或银行帐户使用者自行登入指定网站，处理有关事情。

　　他说，通常大企业或银行实行严格网络安全措施，投放资源在有关基础设施，使用独立系统，不容易被外界入侵。如收到不明或怀疑危险的电邮，便会转到指定的信箱或有特定方法消灭这些电邮，另通知用户曾截获可疑电邮。

　　萧振华称，钓鱼袭击也会向一些规模较小的企业雇主进攻，如他们预防意识不高，或未能加强网络安全，也有机会中招。普罗大众通常使用免费的电邮服务，经过网络传送及接收，过程中可能被入侵者搜寻得到，容易成为受袭对象。