近期，一种伪装为Google官方通知的网络诈骗邮件在加拿大社群中流传，引发网络安全机构警示。这类电邮使用“no-reply@accounts.google.com”等看似正规地址，诱导用户点击链接或授权可疑应用，进而导致个人信息被盗。

Google与多家网络安全机构证实，诈骗者正借助系统权限授权漏洞，伪装成Google通知用户其账户涉及执法调查，需提交资料。一旦用户点击邮件中的链接并授权，将可能允许第三方程式存取其Gmail、Google Drive，甚至关联的银行服务与身份资料。

科技安全顾问Simon Chen在接受《BBC中文网》采访时指出，此类攻击的隐蔽性远高于传统钓鱼邮件。攻击者不再仅仅伪造Google网页，而是通过诱导用户主动授权权限，规避部分安全机制。“看似‘你同意分享’，实为‘你亲手开门’。”

据网络安全公司Proofpoint分析，诈骗电邮常来自伪装地址如“me@gool-mail-smtp-out-198-142-125-38-prod.net”，但主题栏却写得极具官方色彩，如“您有未处理的执法请求”，或“Google需取得您账户资料以配合法规要求”，利用法律术语制造心理压力。

面对升级的网络诈骗手段，Google呼吁用户留意两项关键防护：
一是避免点击来源不明电邮中的任何链接，即使发件地址看似官方，也应直接访问support.google.com确认；
二是升级账户保护机制，用“Passkeys”（金钥）替代传统两步骤验证，透过生物识别如脸部辨识、指纹或PIN码进行更安全的验证。

在加拿大，这类针对Gmail用户的攻击尤其集中在使用Google Workspace或拥有企业账号的用户身上。一旦权限遭获取，可能连带波及工作文档、客户资料，后果不仅是隐私泄露，还可能引发法律责任。

加拿大反诈骗中心（CAFC）提醒，遇到任何疑似Google发出的授权请求邮件，用户应立刻暂停操作，并截图通报至政府或Google官方渠道。

“网络威胁不是未来式，而是进行式。”Simon Chen强调。

#加拿大家园论坛