谷歌警告：25亿Gmail用户快别再用密码了！

您可能已经看到警告，谷歌正在告诉所有用户由于泄露事件而更改他们的 Gmail 密码。这只是部分正确。谷歌确实在告诉用户更改他们的密码，但并不是因为有泄露暴露了他们的密码。实际上，谷歌的真正建议是 完全停止使用您的密码。我想说的是这个。

这次泄露源于 Salesforce，其系统被一个名为 ShinyHunters（也称为 UNC6040）的黑客组织攻破。攻击者获取了与业务相关的 Gmail 数据，包括联系人列表、公司关联和电子邮件元数据。并没有实际的 Gmail 账户凭据被盗，但被盗数据的性质使得网络钓鱼和冒充攻击变得更加危险。

谷歌确认了 Salesforce 泄露与针对性网络钓鱼活动增加之间的联系，并表示攻击者已经开始冒充谷歌、IT 部门或可信的供应商，试图欺骗用户提供登录信息。一些活动甚至涉及“语音钓鱼”，即从伪造的 650 区号号码拨打的欺诈电话，这些号码类似于谷歌的公司电话。

网络钓鱼攻击增加

多年来，网络钓鱼一直是黑客用来入侵账户的最有效手段之一。谷歌自己的数据显示，网络钓鱼和语音钓鱼现在大约占其服务中成功账户接管的 37%。掌握了 Salesforce 的数据后，黑客可以定制看起来比普通垃圾邮件消息更真实的攻击。

想象一下，您收到一条提到您真实雇主、同事或最近沟通内容的消息。这种细节的程度提高了您信任电子邮件、点击恶意链接或提供敏感信息的可能性。一旦凭据被盗，黑客可以绕过额外的保护措施并接管账户——有时候，受害者直到损失严重才意识到这一点。

保护您的电子邮件密码

请注意，这里最重要的规则是，您绝对不要把 Gmail 密码告诉任何人，尤其是那些打电话声称是技术支持的人。无论他们看起来多么可信，谷歌绝对不会打电话给您并要求您提供登录信息。真的，即使是您儿子打电话来帮您解决技术问题，您也不应该把 Gmail 密码告诉他。

为什么？因为您的电子邮件几乎是通往一切的钥匙。在我去年进行的一次采访中，Cloudflare 首席技术官约翰·格雷厄姆-卡明解释了这个问题。

“如果您的电子邮件没有一个好的密码，您生活中的其他一切几乎都是开放的，因为每个服务都是通过向您发送电子邮件来重置密码，”格雷厄姆-卡明说。“所以如果我能破解您的电子邮件，几乎就能破解您所有的其他账户。”

当然，与其不泄露密码或点击假技术支持邮件中的链接，更好的做法是完全停止在 Gmail 账户中使用密码。谷歌多年来一直鼓励用户使用密码密钥。

切换到密码钥匙

我去年也和杰夫·香农聊过密码钥匙。作为 1Password的首席执行官，香农对人们如何使用密码，以及为什么应该转向更安全的账户保护方式，有一些见解。

“从用户的角度来看，密码钥匙就像你设备上的生物识别技术，”香农说。“密码钥匙的好处在于，用户根本不需要为这个服务设置密码。你只需使用你的生物识别技术，然后就会生成一个密码钥匙。但从安全的角度来看，它实际上比密码更安全——即使是强密码——因为它不容易被钓鱼。”

鉴于这次泄露事件，谷歌鼓励Gmail用户更改密码。其实，如果你的密码被泄露，应该定期更换密码。但更好的做法是完全停止使用密码。

谷歌还在推动用户使用更强的身份验证方式，比如密码钥匙和基于应用的双因素身份验证（2FA）。与可能被拦截或伪造的短信验证码不同，身份验证应用和密码钥匙让黑客即使骗你交出密码也更难入侵账户。

谷歌给用户的警告

谷歌的指导可以总结为五个步骤：

1. 定期更换您的 Gmail 密码。选择一个独特且复杂的密码。不要在不同账户之间重复使用密码。
2. 开启双重身份验证。最好使用身份验证器应用或密码钥匙。
3. 对不请自来的信息要保持警惕。如果您收到有关账户安全的电子邮件或电话，请直接去您的谷歌账户页面，而不是点击链接或在电话中提供信息。
4. 使用谷歌的安全检查。该工具提供与您的账户相关的设备、应用程序和设置的快速概览。
5. 时刻保持警惕。如果感觉有些不对劲——奇怪的登录通知、意外的密码重置请求或异常的电子邮件活动——要迅速采取行动，保护好您的账户。

这件事强调了现代网络安全的一个更普遍的真理：您的账户安全程度仅与链条中最薄弱的环节有关。在这种情况下，Salesforce 的漏洞给与该公司没有直接关系的 Gmail 用户带来了风险。即使谷歌自己的系统很安全，攻击者也可能利用合作伙伴泄露的数据来破坏信任。

拥有超过 25 亿 Gmail 用户，世界上最受欢迎的电子邮件服务成为黑客最具吸引力的目标之一并不令人惊讶。谷歌最新的警告提醒我们，在一个频繁发生泄露的世界里，保持警惕是唯一可靠的防御。

—杰森·阿滕