尽管美国政府的电子邮件窃听可能占据所有头条新闻,但美国几乎没有隐私侵犯的专利。上周三,谷歌披露了一场针对谷歌产品用户的、大规模的网络钓鱼活动。
网络钓鱼是垃圾邮件的邪恶表亲。钓鱼电子邮件看起来很正规,其中包含一个链接,可以将用户带到一个完美模仿官方页面的页面,然后要求提供登录信息。这是犯罪分子常用的获取银行账户信息的技术,但它也可以让攻击者访问用户的电子邮件,让他们以用户的身份登录,并找到通常被密码保护的一切。这对企业来说是一个代价高昂的问题。对于政治活动家来说,这甚至更具毁灭性;一个政府如果能阅读活动家的电子邮件,很可能就能找到“反体制宣传”的言论,这种言论定义模糊,在伊朗是犯罪行为。
在伊朗总统选举前的三周内,数万封钓鱼邮件被发送给伊朗的谷歌用户。邮件似乎来自Gmail的电子邮件设置账户,看起来足够真实。邮件要求用户提供第二个备用邮箱,并包含一个误导性链接。用户如果点击该链接,就会被提示输入账户信息,攻击者会将其保留。
谷歌在上周三披露了这次伊朗网络钓鱼攻击,时间恰好在周五总统选举之前,显得有些不祥。谷歌对此守口如瓶,以免打草惊蛇。虽然攻击的来源尚不清楚,但谷歌表示,攻击的时机以及攻击源自伊朗的迹象表明,攻击可能来自伊朗政府。谷歌在检测到攻击后,立即通知了被攻击者,警告他们存在网络钓鱼,并推荐使用两步验证。
攻击者打算如何使用这些信息尚不清楚。选举顺利进行。六位候选人中最温和的一位赢得了选举,与2009年混乱的选举后引发的伊朗抗议活动不同,这次选举得到了和平庆祝。伊朗最高领袖接受了选举结果,尽管他属意的候选人并未获胜。谷歌认为目标选择是“政治动机”,但无论从此次有针对性的钓鱼尝试中获得了什么信息,肯定都没有在本周末使用。
也许伊朗政府——或者任何幕后主使——只是通过可疑的手段收集信息,并没有具体的犯罪意图,只是为了以后使用。也许伊朗和美国并非那么不相似。
