网络邮箱的不同之处

    不过，不能否认网络邮箱很容易受到伺机寻找易受攻击目标的黑帽黑客的攻击，这是因为它是一种网络应用。Ponemon说：“树大招风。非常危险的犯罪分子（如东国国家的一些计算机迷）寻找的是知名公司，因为这样他们从事的犯罪活动才会引起最大程度的注意。”据称，如今最普遍的两种漏洞就是跨站脚本（corss-site scripting）与跨站请求伪造（cross-site request forgery）。Grossman强调，实际上，跨站脚本是网上最显眼的漏洞。“它最常被人用来专门闯入网络邮箱帐户。”

    在针对网络邮箱的跨站脚本攻击中，网络犯罪分子会发送电子邮件，里面含有一些恶意的HTML和JavaScript代码。受害者打开这封网络邮件后，代码会自动执行，并且把受害者的cookie发回给不法分子，cookie里面有进入该网络邮箱帐户所需的信息。一旦出现这种情况，犯罪分子“就有了以你的身份登录进去所需的各种信息，”Grossman说。“对此，你基本上毫无办法。”

    Petkov说，跨站请求伪造攻击利用跨站脚本作为第一步，不过它更进一步：使用该信息来冒充受害者，进入其他帐户。去年秋天，Petrov报告了Gmail的一处漏洞，这漏洞可能会让黑客利用跨站请求伪造登录到别人的电子邮件帐户，并且对帐户进行配置，把别人的所有电子邮件副本转发到攻击者的邮件地址。黑客还可能配置帐户，单单发送含有“帐号”或者“密码”等字眼的所有电子邮件的副本，这样可能会提供登录到受害者银行账户所需的信息。大多数用户甚至从来不会认识到会出现这种情况――也就是说，除非他们登录到银行账户、发现资金已被淘空，否则仍蒙在鼓里。

    后来，谷歌修补了这个漏洞（不过据Petkov声称，问题并没有得到完全解决，部分用户受到了危及）。Petkov并没有专门批评谷歌的意思。他说，所有网络邮箱提供商都在致力于不断对付诸如此类的漏洞。他强调：“我确信谷歌投入了大量的精力来确保其软件的安全，但错误还是难免。尤其是在网上，一切都在不断变化，人们总是竭力在添加新的特性。每当添加一项新特性，就有可能带来问题。”