7月24日消息 请小心单击。埃利·格雷(Eli Gray)是一位安全研究人员，他发现了Google Inbox中的一个设计缺陷，攻击者可以利用该缺陷创建一个欺骗电子邮件收件人的mailto链接。他在大约一年前的2017年5月4日发现了此问题，并将其私下报告给Google。在今年3月16日采取后续行动后，该设计缺陷仍未得到解决，他决定公开披露该缺陷。



通常情况是，mailto链接用于自动填充电子邮件的内容，以节省用户一些时间。我们在提示页面上使用mailto链接，以使用户更容易向我们发送提示。电子邮件客户端(例如Gmail或Google收件箱)应该解析这些链接，并使用mailto链接中包含的任何信息预先编写电子邮件草稿。例如，您可以单击一个链接以向PayPal客户支持发送电子邮件，并且该电子邮件在外发收件人框中将显示support@paypal.com 。

Eli Gray发现的是，您可以构造一个mailto链接来欺骗Google Inbox中的电子邮件收件人。这意味着即使草稿电子邮件可能表明您正在将电子邮件发送至support@paypal.com ，也可能会将其发送至完全不同的地址。您唯一知道的方法是在发送电子邮件之前是否检查了mailto链接或展开了“ to”字段。

例如，此mailto 链接会将support@paypal.com 放在“ 收件人”框中，但是，如果您实际上在此处发送电子邮件，它将转至scammer@phishing.fakewebsite (显然不是真实的电子邮件地址。)幸运的是，这问题似乎并不影响Gmail或Outlook，因此，如果您使用这些服务，则不必担心。

无论如何，这是为什么您应始终检查指向要单击的任何内容的链接的主要示例。去年，一个非常聪明的Google Docs网络钓鱼计划震惊了整个世界，因为它甚至对大多数细心的技术精明的用户都具有说服力。避免重复执行这些计划需要保持警惕，并且在您自己的人身安全方面不要感到太自在。