知名安全公司賽門鐵克(Symantec)發(fā)出警告，有一個(gè)精裝騙局能夠獲取用戶電子郵箱，其中包括了Gmail、Outlook(微軟自帶管理郵件軟件)及Yahoo。

黑郵箱，有手機(jī)號碼就行

下面這段來自賽門鐵克迷你視頻將解釋騙局是如何進(jìn)行的。

之所以說這是一個(gè)迷你視頻，是因?yàn)樗_實(shí)只有2分17秒。但顯然賽門鐵克認(rèn)為觀眾只有金魚的注意力，所以還特地添加了動(dòng)感的背景節(jié)奏，防止你在這兩分多鐘內(nèi)睡過去。

視頻

如果你無法忍受視頻當(dāng)中的“音樂”，那么就讓小編來為大家講解一下。這是一個(gè)只需要知道手機(jī)號和電子郵件賬戶就可以黑進(jìn)郵箱的方法。

小花與大黑的故事

舉例中，我們將假設(shè)攻擊者試圖入侵一個(gè)名叫小花的受害者Gmail賬戶。

小花使用手機(jī)號碼注冊了Gmail郵箱，因此當(dāng)她不記得密碼時(shí)谷歌會(huì)給她發(fā)送一條短信，其中包含一個(gè)援助驗(yàn)證碼，憑借驗(yàn)證碼她就可以訪問自己的郵箱賬戶。

這時(shí)，有一個(gè)壞人——我們暫時(shí)稱他為大黑——迫切渴望進(jìn)入小花的電子郵箱，但是大黑并不知道小花的郵箱密碼。然而，他知道小花的電子郵箱及電話號碼。

于是，大黑訪問了Gmail登錄頁面，輸入了小花的電子郵箱地址。此時(shí)，因?yàn)樗⒉恢烂艽a是什么，他仍然無法進(jìn)入小花的郵箱。

然后他邪惡地點(diǎn)擊了“需要幫助嗎?”鏈接，通常使用者都是忘了他們的密碼才進(jìn)入這里。

大黑在這里選擇了“發(fā)送一條驗(yàn)證碼到我手機(jī)上：[ x手x機(jī)x號x碼x ]”,從而小花手機(jī)會(huì)收到一條包含六位數(shù)驗(yàn)證碼的信息。

氣氛開始變得詭異起來。

此時(shí)，大黑冒充谷歌發(fā)送了一條短信，內(nèi)容是這樣的：

“谷歌發(fā)現(xiàn)你的賬戶存在不正常的活動(dòng)。請將收到的驗(yàn)證信息發(fā)送過來，用以阻止未經(jīng)授權(quán)的活動(dòng)。”

高潮來了：對此信以為真的小花將谷歌發(fā)送來的驗(yàn)證碼發(fā)給了大黑。(真是令人發(fā)指!)

大黑成功獲得驗(yàn)證碼之后，便可重設(shè)一個(gè)臨時(shí)密碼從而進(jìn)入了小花郵箱。

如果大黑繼續(xù)查看小花的電子郵件，同時(shí)在可以預(yù)見的未來不引起她的懷疑，小花郵箱會(huì)收到一個(gè)密碼已重置的郵件，但郵箱已在小黑的控制之下。此時(shí)小黑發(fā)送短信給小花，內(nèi)容如下：

“感謝你驗(yàn)證了你的谷歌賬戶。你的臨時(shí)密碼是(臨時(shí)密碼)。”

即使小花遲些時(shí)候再次修改了自己的郵箱密碼，大黑仍然可以收到她的郵件，除非小花仔細(xì)查看了自己的賬戶設(shè)置。(直覺告訴我，她不會(huì)。。。。。。)

騙子沒有看上去那么笨

簡而言之，這是一個(gè)社會(huì)工程學(xué)手段。聰明如你可能不會(huì)中招，但是你不能保證你身邊的朋友不會(huì)落入陷阱。

我們常常奇怪，為什么手機(jī)常常收到那些拙劣的詐騙短信，騙子為什么固執(zhí)于這么愚蠢的方式行騙?你需要明白這個(gè)成功的概率不可能等于0，而且可能比0.01%更高，騙子唯一需要做的就是竭盡所能地?cái)U(kuò)充基數(shù)，而詐騙成本卻并不會(huì)因此而飆升。

那么，這個(gè)問題該怎么解決呢?

最簡單的建議就是慎重對待可疑短信，特別是詢問你驗(yàn)證碼信息的(如果你并沒有發(fā)送驗(yàn)證請求)。

我仍然好奇有多少人在面對這一貌似從谷歌或者雅虎發(fā)出的消息時(shí)，他們會(huì)不顧后果地立刻采取行動(dòng)。畢竟，在這樣的一個(gè)時(shí)代，很多人最大的擔(dān)憂之一就是他們的郵件安全了。

QQ郵箱并不受此影響

鑒于大多數(shù)人有使用QQ郵箱的習(xí)慣，所以我們測試了一下QQ郵箱的忘記密碼功能。結(jié)果發(fā)現(xiàn)QQ郵箱竟然智慧地要求用戶自主發(fā)送特定短信到指定號碼，避免了前文的種種情況。

而另一個(gè)熱門163郵箱，則沒能幸免，使用還是很容易被模仿的短信驗(yàn)證碼。

珍愛隱私，請認(rèn)真保護(hù)你的郵箱信息!