最可怕的是它很像真的,你以为是活动,其实是“收割入口”:立刻检查这三个设置
近来越来越多的恶意手法用“活动邀请”“限时报名”“福利抽奖”等形式出现——看起来像正规活动,实际上在收集你的信息、测你反应,甚至借机争取对你账号或设备的权限。多数人往往只扫一眼就点了“接受”或点开链接,结果给了对方可利用的入口。
下面列出三个立刻可以检查并调整的关键设置,尤其适用于常用 Google 账号、Gmail 和 Google 日历的用户。花两分钟检查,能大大降低被“收割入口”利用的风险。
1) Google 日历:控制自动加入和邀请显示方式 为什么要看:很多钓鱼短信/邮件会自动生成日历事件,若日历自动把邀请或来自邮件的活动加进来,你可能会错以为是正式活动并进一步点击或填写信息。 怎么做(网页版):
- 打开 Google 日历 → 右上角齿轮 → 设置。
- 左侧选“事件设置”(Event settings)→ 找到“自动添加邀请”(Automatically add invitations)或类似选项,选择“仅显示我已回复的邀请”(“No, only show invitations to which I have responded”)或关闭自动添加。
- 左侧选“来自 Gmail 的活动”(Events from Gmail)→ 关闭“自动将来自 Gmail 的活动添加到我的日历”(如果存在此项)。 额外建议:检查所有日历的共享权限,删除不认识的人或公开可见的共享。把重要日历设为私密,仅对可信联系人开放查看或编辑权限。
2) Gmail:禁止自动加载外部图片与可疑邮件跟踪 为什么要看:电子邮件中的追踪像素或云端图片会在你打开邮件时向发送方回传信息(如你是否打开、时间、IP 等),恶意邮件可借此验证活跃账户并进一步攻击。 怎么做(网页版):
- 打开 Gmail → 右上角齿轮 → 查看所有设置(See all settings)。
- 在“常规”选项卡中找到“图片”(Images),选择“在显示外部图片前询问我”(“Ask before displaying external images”)。
- 在收件箱里对可疑邮件选择“举报钓鱼邮件”或“垃圾邮件”,不要直接点击邮件里的链接或附件。 额外建议:遇到看似来自熟人但内容异常的邀请或链接,先通过其他渠道(电话、微信等)向对方核实真伪。
3) Google 账号:清查第三方应用与账号授权 为什么要看:很多“活动报名”或第三方页面会要求“使用 Google 登录”或“允许访问某些权限”,一旦授权,攻击者可能获得读取日历、联系人、邮件甚至修改权限的能力。 怎么做(网页版):
- 访问 myaccount.google.com → 左侧选择“安全”(Security)。
- 往下滑到“第三方应用具有账户访问权限”(Third-party apps with account access)或“向其他应用授予的访问权限”,点击“管理第三方访问”。
- 删除不熟悉或不再使用的应用,尤其是请求访问“邮件、日历或联系人”等敏感权限的应用。
- 检查“已连接的网站与应用”的权限详情,撤销可疑权限后若有需要,改密码并开启双重验证(2-Step Verification)。 额外建议:在授权任何服务前,确认该服务的官方网站和隐私政策;优先选择只请求最小权限的登录方式(例如只获取基本信息,而非全部邮箱或日历读写权限)。
如果你已经可能点开了可疑活动链接或接受了邀请,先做这些快速自查:
- 立刻在日历中删除未知事件并拒绝邀请;注意删除事件后还要检查该事件是否带有链接或附件并删除。
- 在 Google 账号的安全页面查看最近的安全事件与登录设备,若有异常立即更改密码并登出所有设备。
- 撤销最近新增的第三方应用授权,开启并强制执行双重验证(2FA)。
- 报告该邮件或事件为钓鱼;如果涉及财务信息或敏感数据泄露,及时联系相关机构或对应平台客服处理。
如何更好地辨别“伪装活动”小提示
- 发件人地址与活动主办方域名不一致;即使名字熟悉,也要看邮箱完整地址。
- 活动页面要求“先授权”或“通过第三方登录后填写”而非通过正常报名表单,优先怀疑。
- 链接短域名或跳转次数多,鼠标悬停地址栏看实际目标域名是否与主营机构匹配。
- 时间紧迫、语言催促或“仅限今日”之类高级压迫感常是社工手法。
结语 不要把“日历里的活动”“一封看似正规的邀请邮件”当成天然可信的信号。按上面三个设置逐项检查并调整,可以把许多伪装成“活动”的收割入口堵在源头。现在就去检查并修好这三处设置,比事后补救要轻松许多。
