The Python Package Index Blog
·
PyPI用户邮箱钓鱼攻击
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
PyPI用户遭遇钓鱼攻击,攻击者伪装成PyPI网站,诱导用户登录假网站。用户收到来自noreply@pypj.org的邮件,要求验证邮箱。请勿点击链接,立即删除邮件。如已提供信息,请更改密码并检查账户安全。
🎯
关键要点
- PyPI用户遭遇钓鱼攻击,攻击者伪装成PyPI网站。
- 用户收到来自noreply@pypj.org的邮件,要求验证邮箱。
- 邮件中的域名pypj.org与官方域名pypi.org不同,注意小写字母j。
- 该攻击并非PyPI的安全漏洞,而是利用用户对PyPI的信任进行钓鱼。
- 用户被引导到一个假网站,输入登录信息后实际上是提供给钓鱼网站。
- PyPI管理员正在调查应对措施,并在主页上发布警告横幅。
- 用户在登录前应检查浏览器中的URL。
- 如果收到该邮件,请勿点击链接,立即删除邮件。
- 如已提供信息,请立即更改PyPI密码,并检查账户安全历史。
❓
延伸问答
PyPI用户如何识别钓鱼邮件?
用户应注意邮件发件人是noreply@pypj.org,且域名中的小写字母j与官方域名pypi.org不同。
如果我收到钓鱼邮件该怎么办?
请勿点击邮件中的链接,立即删除邮件。
钓鱼攻击是如何进行的?
攻击者伪装成PyPI网站,诱导用户登录假网站并输入登录信息。
我已经提供了信息,应该怎么做?
请立即更改PyPI密码,并检查账户的安全历史。
PyPI是否遭遇了安全漏洞?
不是,PyPI并没有被黑客攻击,这只是利用用户信任的钓鱼攻击。
PyPI管理员对此攻击有什么应对措施?
PyPI管理员正在调查应对措施,并在主页上发布警告横幅。
➡️
