中国邮箱网讯 7月24日消息 请小心单击。埃利·格雷(Eli Gray)是一位安全研究人员,他发现了Google Inbox中的一个设计缺陷,攻击者可以利用该缺陷创建一个欺骗电子邮件收件人的mailto链接。他在大约一年前的2017年5月4日发现了此问题,并将其私下报告给Google。在今年3月16日采取后续行动后,该设计缺陷仍未得到解决,他决定公开披露该缺陷。
通常情况是,mailto链接用于自动填充电子邮件的内容,以节省用户一些时间。我们在提示页面上使用mailto链接,以使用户更容易向我们发送提示。电子邮件客户端(例如Gmail或Google收件箱)应该解析这些链接,并使用mailto链接中包含的任何信息预先编写电子邮件草稿。例如,您可以单击一个链接以向PayPal客户支持发送电子邮件,并且该电子邮件在外发收件人框中将显示support@paypal.com 。
Eli Gray发现的是,您可以构造一个mailto链接来欺骗Google Inbox中的电子邮件收件人。这意味着即使草稿电子邮件可能表明您正在将电子邮件发送至support@paypal.com ,也可能会将其发送至完全不同的地址。您唯一知道的方法是在发送电子邮件之前是否检查了mailto链接或展开了“ to”字段。
例如,此mailto 链接会将support@paypal.com 放在“ 收件人”框中,但是,如果您实际上在此处发送电子邮件,它将转至scammer@phishing.fakewebsite (显然不是真实的电子邮件地址。)幸运的是,这问题似乎并不影响Gmail或Outlook,因此,如果您使用这些服务,则不必担心。
无论如何,这是为什么您应始终检查指向要单击的任何内容的链接的主要示例。去年,一个非常聪明的Google Docs网络钓鱼计划震惊了整个世界,因为它甚至对大多数细心的技术精明的用户都具有说服力。避免重复执行这些计划需要保持警惕,并且在您自己的人身安全方面不要感到太自在。