点开就上钩？Gmail现高仿钓鱼邮件，官方发出严重警告

谷歌近日向全球近20亿Gmail用户发出安全警告，一种看似“官方通知”的邮件实为高仿钓鱼攻击，已被证实为新一轮网络诈骗手段。

这种诈骗邮件伪装成谷歌发送，发件人显示为

no-reply@accounts.google.com，内容称“警方已要求谷歌披露用户资料”，并附有一个“谷歌支持页面”的链接，声称可以查看相关法律案件的细节。

谷歌指出，这类邮件与真正的系统通知无关。攻击者通过伪造链接，引导受害者点击并授权第三方应用，从而实现对Gmail、Google Drive等服务的访问。部分用户还可能无意中下载植入恶意代码的文件，进而导致账号被盗、密码泄露，甚至银行账户信息被获取。

更令人担忧的是，诈骗者利用谷歌OAuth认证系统创建伪装应用，搭配 Google Sites 伪装成“支持页面”，使邮件更具欺骗性。一旦用户点击链接并登录，他们实际上已将控制权交给黑客。

曾供职于谷歌与以太坊的技术专家 Nick Johnson 指出，攻击者不仅发送邮件地址以“no-reply”开头，还利用Gmail系统自身生成的格式，如 me@googl-mail-smtp-out-198-xxx.net，从而欺骗用户误以为是自己发送的信息。

这些邮件在收件箱中显示为“我”，进一步提升了其伪装程度。一旦点开，受害者看到的是一份看似“来自谷歌法律部门”的通知，从而陷入慌张状态并做出错误决策。

谷歌官方建议用户立即采取这些防护措施：

1.切勿点击来源不明的邮件链接

2.不要轻易下载附件或授权未知应用

3.启用“通行密钥”替代传统双重验证

4.定期检查账号权限设置与安全中心提醒

5.访问谷歌官方支持页面请手动输入网址（support.google.com）而非点击链接

所谓“通行密钥（Passkeys）”是一种替代密码的身份验证机制，结合设备加密与生物识别技术（如指纹、人脸识别、PIN码）完成验证，不易被钓鱼攻击绕过，目前已被谷歌、微软等公司广泛采用。