fossBytesは1月17日(米国時間)に掲載された記事「Beware! This Is The Smartest Gmail Phishing Attack You'll Ever Encounter」において、ITに詳しいパワーユーザーもだまされるような巧妙なGmailフィッシングが出回っていると伝えた。この攻撃により、Gmailアカウントが乗っ取られる危険性があり、注意が必要。

記事はWordfenceが発表した「Wide Impact: Highly Effective Gmail Phishing Technique Being Exploited」を引き合いに出して説明を行っている。攻撃者は何らかの形で手に入れたGmailアカウントを使い、過去のメールのやり取りなどを使って本物のように偽装したメールをほかのユーザーへ送信。メールに含まれているリンクをクリックすると偽装されたGmailのログインページが表示される仕組みになっている。

偽装したGmailのログインページは見ただけでは本物か偽物かを区別することが難しい。さらにURLにはデータURLが使われており、文字列としてhttps://accounts.google.com/が含まれている。このため、このページが本物のページであると誤った判断を行いパスワードを入力してしまうと、攻撃者にアカウントが乗っ取られるという仕組みになっているという。

記事では、こうした被害にあうことを防ぐために、アドレスバーを確認してhttps://の前に何の文字列も表示されていないことを確認すること、2段階認証(2要素認証)の機能を有効にしておくことなどを薦めている。