Gmail-brugere skal holde tungen lige i munden og pegefingeren væk fra 'klik her'-links i disse dage.
En ny og særdeles udspekuleret phishing-kampagne har ramt Googles populære e-mailtjeneste - og den er så troværdig, at selv skeptiske brugere er blevet narret.
Det ligner en helt almindelig besked fra no-reply@google.com, og den består alle de tekniske tjek - inklusiv DKIM-signaturen - som normalt er det digitale stempel på, at mailen er ægte.
Men det er den altså ikke. I stedet er der tale om en digital trojansk hest, der er forklædt som officiel kommunikation fra Google.
Sådan skriver mediet Nova.
"Den var underskrevet og så ud som om, den virkelig kom fra Google. Det var først, da jeg klikkede på den, at jeg bemærkede, at siden ikke var hostet på accounts.google.com, men på sites.google.com," skriver Nick Johnson, der er udvikler hos Ethereum, på det sociale medie X.
Det er her, problemet for alvor begynder.
For når man lander på den falske side, tror man, man er ved at logge ind hos Google, og pludselig har man givet sine oplysninger direkte til en cyberkriminel med lidt for meget tid og teknisk snilde.
Ifølge sikkerhedsfirmaet Malwarebytes udnytter svindlerne Googles egen infrastruktur, og det kan potentielt ramme millioner verden over.
Google selv tager situationen seriøst.
"Vi er opmærksomme på denne type målrettede angreb og implementerer beskyttelse for at lukke denne mulighed for udnyttelse," lyder meldingen.
De opfordrer samtidig brugere til at tage ansvar for egen sikkerhed.
Hvis hackere knækker din adgangskode, skal du ikke gå i panik. Ifølge Google har du stadig op til syv dage til at få adgang igen.
Det er dog nødvendigt at have et backup-datasæt, for eksempel et telefonnummer eller en e-mailadresse, til kontogendannelse.
