V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
oott123
V2EX  ›  全球工单系统

[Google 工单] 大量的“您帐户的辅助邮箱地址被更改了”垃圾邮件

  •  
  •   oott123 · 2016-10-20 10:07:10 +08:00 · 22435 次点击
    这是一个创建于 2947 天前的主题,其中的信息可能已经有所发展或是发生改变。

    简而言之,一群发垃圾邮件的人注册了一大堆 google 账户,把名字改成垃圾广告,然后把恢复邮箱地址填成要发送的目标地址,然后修改辅助邮箱发给下一个人。

    对我来说,效果就是收到大量的这种邮件:

    垃圾邮件截图

    这个问题我跑去 google product forums 反馈了下,然而由于个人英文比较拙计,那边的专家好像并不是很理解我说的是啥。

    每天收到大量的这种垃圾邮件不堪其扰,更重要的是,如果真的有人尝试修改我的辅助邮箱,那真实的邮件就会被一大堆水淹没……想想还是挺可怕的。

    所以只好在全球工单论坛发帖,希望能有 Google 的人来领吧。

    32 条回复    2017-01-05 11:04:13 +08:00
    codingadog
        1
    codingadog  
       2016-10-20 10:17:07 +08:00 via iPhone
    第一段中文我没看懂。。。。
    oott123
        2
    oott123  
    OP
       2016-10-20 10:21:18 +08:00
    @codingadog 看图。
    就是 Google 会在你修改备用邮箱的时候,给你原来的邮箱发一封邮件。
    邮件内容里,包括了你的名字。
    然后如果你在名字里写一堆广告,然后再把备用邮箱设置成别人的邮箱,这样你修改的时候,就会给别人的邮箱发一封带广告的邮件。
    jarry777
        3
    jarry777  
       2016-10-20 10:22:21 +08:00
    lynnworld
        4
    lynnworld  
       2016-10-20 10:22:44 +08:00
    发垃圾邮件的人太机智了
    oott123
        5
    oott123  
    OP
       2016-10-20 10:29:04 +08:00
    @jarry777 然而被 SPAM 的并不是 QQ 数字帐号……而是数个以前的个人邮箱
    @lynnworld 是啊,深深的折服了
    oott123
        6
    oott123  
    OP
       2016-10-20 10:32:23 +08:00
    🌚现在我自己是通过一个正则去匹配 \w{9,}@gmail.com 拦截掉了这部分邮件,然而这些邮件还在源源不断的发往垃圾箱……看着就烦。

    Google 虽有强大的反 SPAM 能力,却还是被钻了奇葩漏洞 = =
    caiych
        7
    caiych  
       2016-10-20 11:25:32 +08:00
    来领了…一会去反应一下…
    所以说你的辅助邮箱被修改不需要你的帐号的登录信息么,辅助邮箱被改掉本身不是应该是更加严重的安全隐患么?
    oott123
        8
    oott123  
    OP
       2016-10-20 11:31:38 +08:00
    @caiych 那个帐号不是我的,这才是这个事情的荒谬所在。
    对方注册了一个和我毫无联系的帐号,然后填我作为恢复邮箱,然后再改成下一个受害者,然后再继续改掉……一路上的受害者就都会收到这种垃圾邮件,奇妙吧。
    1q2w3e4r
        9
    1q2w3e4r  
       2016-10-20 11:33:36 +08:00
    iPhone 的日历和照片 iCloud 共享都收到这个网站的广告,真是无孔不入。
    Luzifer
        10
    Luzifer  
       2016-10-20 11:40:42 +08:00
    @caiych 垃圾人修改的是他自己的辅助邮箱

    修改为受害人的邮箱。 然后受害人的邮箱里就会收到 google 的提示邮件。
    rhen
        11
    rhen  
       2016-10-20 11:47:15 +08:00 via Android
    而且这种邮件标题醒目,很容易吸引人点进去,
    kslr
        12
    kslr  
       2016-10-20 11:52:53 +08:00 via Android
    你把这张图发过去就理解了
    caiych
        13
    caiych  
       2016-10-20 12:01:29 +08:00   ❤️ 1
    @Luzifer
    @oott123
    明白了 多谢
    monnand
        14
    monnand  
       2016-10-20 12:36:10 +08:00 via Android
    这就是说,垃圾邮件发送者没有得到你的确认就能把恢复邮箱设置成你的?而且还能通过修改信息的方式给恢复邮箱发邮件?我觉得是一个流程上的问题, Google 必须只能给确认过的恢复邮箱发邮件才行。这样是不是就没问题了?
    oott123
        15
    oott123  
    OP
       2016-10-20 12:39:38 +08:00
    @monnand 然后对方就能给你发“确认恢复邮箱”的垃圾邮件啦~

    我认为这本质上是一种注入:本来是名字的地方,被注入成了垃圾信息。
    修复注入则要么过滤输入,要么去掉输出……
    vwok
        16
    vwok  
       2016-10-20 12:43:35 +08:00
    昨天也收到了这种邮件,并不清楚是怎么发出来的,我按照 LZ 的方法自己试了一下,修改辅助邮箱并没有给原来的辅助邮箱发邮件,不知道是否还要什么设置。
    oott123
        17
    oott123  
    OP
       2016-10-20 12:46:26 +08:00
    @vwok 我是瞎猜的…… 2333 。
    也有可能是要注册的时候填写的那个,才可以这么发吧,或者有别的奇怪的设置也说不定。
    vwok
        18
    vwok  
       2016-10-20 12:47:33 +08:00
    好吧 我收到了,有了十分钟左右的延迟
    @oott123
    g079708
        19
    g079708  
       2016-10-20 13:05:44 +08:00 via iPhone
    是的,前段时间我也收到类似短信邮件
    whwq2012
        20
    whwq2012  
       2016-10-20 13:08:14 +08:00 via Android
    @lynnworld 但是国内会用 gmail 的人都不会上当的
    pmpio
        21
    pmpio  
       2016-10-20 13:12:10 +08:00
    我发现 Google 可能真有人会专门查看网上有关 Google 反馈的帖子,我前些天在 v2 发了个有关 Pixel 手机订购推送的帖子,然后这几天再也没发现给我推送这个消息了。只是困惑,他们是怎么把我的 V2EX id 和 google id 联系起来的?
    sephinh
        22
    sephinh  
       2016-10-20 13:22:17 +08:00 via Android
    @oott123 这个其实最简单就是这封验证邮件不要带 id ,直接邮箱地址就 ok 了:尊敬的用户你好,你的邮箱 xxxx 的辅助邮箱被更改……
    oott123
        23
    oott123  
    OP
       2016-10-20 13:24:09 +08:00
    @sephinh 对,不输出就没有注入。
    caiych
        24
    caiych  
       2016-10-20 13:51:19 +08:00   ❤️ 1
    @whwq2012 看起来和 gmail 可能没有关系,在 recovery email 那边填上 qq 邮箱应该也可以发过去。但是 Gmail 有可能 whiteliest 了自家的发件人不会进 spam ……

    已发 bug ,连同#15 #22 的建议,有可能发错了目的地不过我会关注一下确保送到正确的组…
    kozora
        25
    kozora  
       2016-10-20 16:54:32 +08:00
    不得不佩服这些人的智商 只是用在了不正当的地方
    jarnanchen
        26
    jarnanchen  
       2016-10-20 18:09:51 +08:00
    这个垃圾邮件太机智了。
    geekzu
        27
    geekzu  
       2016-10-23 20:03:40 +08:00
    上次苹果也被这样利用了
    kang000feng
        28
    kang000feng  
       2016-11-05 01:43:49 +08:00
    @caiych 你好,我也有 Google+工单要提,最近 post 一直发不出去,在 G+的 feedback 反馈了好几次都没人回复, 没有 ABUSE,有什么渠道可以解决吗? 谢谢!!
    oott123
        29
    oott123  
    OP
       2017-01-04 22:28:38 +08:00
    @caiych 不知道这个事情进展如何了?
    今天又发现另外一种垃圾邮件……
    caiych
        30
    caiych  
       2017-01-05 10:33:47 +08:00   ❤️ 1
    @kang000feng 不好意思之前漏看了,我不太了解有关某个用户的 bug 怎么反馈,只知道这种系统有问题的情况
    @oott123 那边的组 disable 了 spammer 帐号 说是 looking at the issue 后面没有 update 我去问一下
    我一会发个 bug 报一下 Google Drive 的这个事情

    多谢反馈 @@
    caiych
        31
    caiych  
       2017-01-05 11:00:37 +08:00
    @oott123 仔细看了一下图上没有发件人邮箱,能提供一下么
    另外我搜了一下 bug 发现这一部分应该是有 anti spam 的,是针对帐号的,如果这个帐号不正常这个分享是发不出来的。
    (搜到了有误报的 bug233 )
    oott123
        32
    oott123  
    OP
       2017-01-05 11:04:13 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5573 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 06:35 · PVG 14:35 · LAX 22:35 · JFK 01:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.