Hacker News 中文摘要

RSS订阅

因假冒谷歌电话、伪造谷歌邮件和身份验证同步被骗13万美元 -- Scammed out of $130K via fake Google call, spoofed Google email and auth sync

原文链接 | HN讨论 | 2025-09-17 04:34:12

文章摘要

作者接到自称谷歌客服的电话,称有人提交了死亡证明试图接管其谷歌账户。对方发送了一封看似来自谷歌官方的邮件,使作者信以为真,最终被骗走13万美元。文章揭示了谷歌在防范诈骗方面的不足。

文章总结

标题:我被骗走13万美元——谷歌助长了这场骗局

2025年9月14日,作者分享了自己遭遇的一场精心设计的网络诈骗,损失高达13万美元。这场骗局始于6月19日的一个电话,对方自称是谷歌客服,声称有人提交了死亡证明和身份证,试图接管作者的谷歌账户。尽管作者起初持怀疑态度,但对方通过发送一封看似来自legal@google.com的邮件,成功让作者相信了骗局。

在电话中,对方要求作者读取一个验证码,以证明其“仍然活着”。作者在慌乱中照做了,却不知这正中了骗子的圈套。随后,骗子利用谷歌的云同步功能,获取了作者的谷歌验证码,并迅速入侵了其Coinbase账户,在短短40分钟内转移了价值约8万美元(现约13万美元)的加密货币。

作者反思了这场骗局中的几个关键问题:

  1. 谷歌未能拦截伪造的“@google.com”邮件,导致作者无法辨别邮件的真伪。
  2. 谷歌默认开启了验证码云同步功能,使得骗子能够轻松获取作者的二次验证码,进一步扩大了损失。

作者提醒读者采取以下措施保护自己的数字资产: - 立即更改密码,避免使用已泄露的密码。 - 切勿分享验证码,警惕利用紧迫感和恐惧心理的诈骗手段。 - 谨慎启用谷歌验证码云同步功能,避免将所有数字身份集中在一个平台上。 - 对陌生电话保持警惕,如有疑虑,直接联系相关公司核实。

这场骗局不仅让作者蒙受巨额经济损失,还耗费了数月时间恢复平静。作者希望通过分享自己的经历,提醒更多人警惕类似的网络诈骗。

评论总结

主要观点总结:

  1. 诈骗手段的揭露与防范

    • 评论者揭露了通过伪造电子邮件和电话进行诈骗的手段,强调了提高警惕的重要性。
    • 引用:
      • "The attacker spoofed the 'From' field so it looked like the emails came from @google.com"(攻击者伪造了“发件人”字段,使其看起来像是来自@google.com的邮件)
      • "Never trust inbound calls. They are the easiest vector for scammers to spoof"(永远不要信任来电,这是诈骗者最容易伪造的途径)

  2. 加密货币账户的安全问题

    • 评论者指出加密货币账户的安全性较低,容易被盗取,建议不要存放大量资金。
    • 引用:
      • "I notice none of the pieces of advice are 'don't keep a hundred thousand dollars in a Coinbase account'"(我注意到没有一条建议是“不要在Coinbase账户中存放十万美元”)
      • "Crypto isn’t a real store of wealth and can be stolen at any time"(加密货币并不是真正的财富存储方式,随时可能被盗)

  3. Google Authenticator的云同步问题

    • 评论者讨论了Google Authenticator的云同步功能,认为其默认开启存在安全隐患。
    • 引用:
      • "Google enabled Authenticator cloud sync by default"(Google默认开启了Authenticator的云同步功能)
      • "Google Authenticator does not cloud sync by default. You specifically have to accept the cloud sync option"(Google Authenticator默认不会云同步,你必须明确接受云同步选项)

  4. 密码管理与2FA的重要性

    • 评论者强调了使用密码管理器和双因素认证(2FA)的重要性,建议避免密码重复使用。
    • 引用:
      • "The key takeaway from this imo should be to only use password managers with a secret key like 1Password"(我认为关键教训是只使用带有密钥的密码管理器,如1Password)
      • "Never understood this convenience and never will. This is exactly the wrong way to deal with people losing their authenticator secrets"(我从未理解这种便利,也永远不会理解。这是处理丢失认证密钥的错误方式)

  5. 银行与加密货币的安全性对比

    • 评论者认为传统银行比加密货币更安全,因为银行更注重客户账户的保护。
    • 引用:
      • "Banks care literally at all about their customers accounts being emptied"(银行确实关心客户账户是否被清空)
      • "Traditional banks are way more secure than crypto"(传统银行比加密货币安全得多)

  6. 个人防范措施

    • 评论者分享了个人防范诈骗的经验,如不接听陌生电话、通过官方渠道核实信息等。
    • 引用:
      • "I never pick up calls from numbers that I don’t know"(我从不接听陌生号码的来电)
      • "Always confirm such things by calling the official contact number that you already have"(始终通过已有的官方联系电话进行确认)

总结:

评论主要围绕诈骗手段、加密货币账户安全、Google Authenticator的云同步问题、密码管理、银行与加密货币的安全性对比以及个人防范措施展开。评论者普遍认为提高警惕、使用密码管理器和双因素认证、避免在加密货币账户中存放大量资金是防范诈骗的关键。同时,传统银行的安全性被认为高于加密货币。