Gmail的安全警告是“误报”，尽管如此，网络钓鱼仍然日常瞄准收件箱：Google的官方见解和实践指南

1. 发生了什么——“紧急警告”报道与Google的否认

9月初，有关“Gmail向所有用户发出紧急警告”和“敦促25亿人更改密码”的文章在海外媒体和社交网络上迅速传播。对此，Google在官方博客上解释说，并没有发出这样的“广泛警告”，报道是错误的。他们表示，“Gmail的保护是强大且有效的”，并指出错误信息会扰乱网络安全的讨论。blog.google

NDTV Profit和美国地方电视台等也介绍了Google的“误报”声明。他们表达了对错误信息的担忧，并呼吁用户不要过度反应，冷静应对。NDTV ProfitNBC Chicago

2. 官方意见要点（三点）

1. “大规模Gmail警告”本身是错误的
   Google否认了一系列报道，称“Several inaccurate claims…”（传播了一些不准确的主张）。blog.google
   
   

2. 拦截率：99.9%以上
   Gmail表示能够预先阻止99.9%以上的垃圾邮件、钓鱼和恶意软件。blog.googlesafety.google
   
   

3. 建议：使用密码钥匙等额外防护
   由于利用误报的假通知和诈骗已成常态，建议使用密码钥匙和执行钓鱼防护最佳实践。blog.google

3. 背后的“混淆”——真正的问题是什么

部分报道指出，与Salesforce等外部平台相关的事件及其引发的诈骗可能被“Gmail的大规模侵害”所混淆。此外，还有报道指出**语音冒充（vishing）**等更为巧妙的社会工程攻击正在增加，这种环境加剧了不安。The Telegraph

4. 当前实际被瞄准的手法（示例）

• 假支持/紧急通知型：
  通过“账户有危险”“立即确认”等煽动强烈焦虑的信息，引导至假登录页面。

• 伪装密码重设：
  在看似真实的页面上窃取认证信息。

• 滥用OAuth同意界面：
  促使“授予应用权限”，获取邮件读取等长期访问。

• 伪装发票/业务联络（BEC/鱼叉式钓鱼）：
  假冒交易伙伴或上司，要求更改支付信息或提交敏感信息。

• 语音（电话）+邮件联动（vishing）：
  通过邮件联系→电话中称“身份验证”以窃取信息——多层次的社会工程成为主流。Google 支持

5. 个人用户“从今天开始可以做”的10条实践

1. 设置密码钥匙（如果可能，优先考虑）。blog.google

2. **启用两步验证（2SV）**。

3. 通过安全检查（Security Checkup）盘点弱点。safety.google

4. 使用强且不重复的密码并结合密码管理器。

5. 不要在链接中输入密码（如有必要，从浏览器地址栏直接访问）。Google 支持

6. 注意发件人域名/显示名的伪装（警惕相似域名）。Google 支持

7. 避免自动运行附件。

8. “报告”可疑邮件（Gmail的钓鱼报告功能）。Google 支持

9. 通过增强Chrome的“安全浏览”实现实时保护。Safe Browsing

10. 伪装成公共、金融、配送的紧急联系时，先深呼吸——务必通过官方应用或官网重新确认。blog.google

6. Google Workspace（管理员）紧急检查清单

• 优化SPF/DKIM/DMARC，强力检测冒充。

• **严格化“未认证邮件的处理”**（警告/隔离/垃圾邮件分类）。

• 启用BEC保护和域名冒充防护。

• 考虑在组织内应用增强安全浏览（扩展保护）。这些可以在管理控制台中详细控制。Google 支持+1

7. 收件箱中的“红旗信号”检查7

1. 强调紧急性（强迫在数小时内反应）

2. 发件人的不一致感（免费邮箱/相似拼写的域名）

3. 链接URL的不一致（显示与实际跳转目的地）

4. 要求金钱、认证信息、号码（礼品卡、OTP、恢复码）

5. 附件的可执行文件/带密码的ZIP

6. 过度要求OAuth权限（读取、发送、访问联系人）

7. 电话号码的记载（引导回拨的vishing联动）
   如果这些中有一项符合就要注意。关闭邮件，通过官网或应用自行确认。Google 支持Safe Browsing

8. 不被误报扰乱的“信息卫生”

• 查阅原始来源：首先确认Google官方博客或帮助中心。blog.googleGoogle 支持

  ##