都設一堆密碼了，怎麼老是被駭？Google在幹嘛？5種詐騙手法大公開

Google的資安事件頻傳，身為網路搜尋引擎龍頭的Google，資安防護真有到位嗎？

今年3月，實況網紅「黑羽」在YouTube上傳影片表示自己的Google帳戶遭到盜用；擁有344萬點閱的黃明志YouTube頻道影片也曾經全部消失，頻道名稱被改為俄文髒話，疑似遭俄駭客入侵。10月中旬，駭客濫用Google表單竊取小型企業個資，跳過各種Email系統的有害內容過濾機制、防毒軟體檢測，鎖定企業員工發動網釣攻擊。

依據美國電子郵件安全公司INKY研究員指出，今年已偵測超過14,000封釣魚電子郵件皆使用Google表單進行詐騙。

今（28）日，Google台灣針對「網路安全」一題進行討論，並且回應使用者常見的3大問題：

問題一：各項服務帳號設定密碼還是被駭，Google無能為力？

Google台灣政府事務及公共政策的副總經理陳幼臻指出，使用者常遇到的網安陷阱手法，包含惡意程式、釣魚手法、垃圾訊息與網路攻擊等。

Google Cloud台灣政府事務及公共政策賴秀雯則表示，隨著雙11、感恩節、聖誕等節慶到來，網路安全風險升高。根據Google Workspace（舊稱G Suite）團隊統計，在今年感恩節前2周左右，共阻擋2,310億條垃圾或釣魚信件，比平常高出10%，當中包含5種詐騙手法：
1. 禮品卡與贈品：詐騙份子可能會試圖誘騙受害者購買並轉贈禮品卡，甚至會喬裝成受害者的親朋好友，以換取免費贈品為噱頭，藉機取得受害者的信用卡資訊。
2. 慈善相關詐騙：年末、或是在特定節日也常讓人引發惻隱之心，但同時也讓詐騙份子有機可趁，不僅傷害了受害者，更對本來可以從慈善捐贈中受益的組織造成損失。
3. 特定族群詐騙：這類型詐騙會針對對象的輪廓、生活特性，以更加個人化的訊息加以詐騙，例如：特定年齡或是家長教師組織等。
4. 訂閱服務續訂：年關將近，訂閱服務的續訂詐騙訊息開始出現，這些特別不受歡迎的電子郵件通常會推銷使用者防毒軟體，企圖以提高安全性為由，來引誘受害者。
5. 加密貨幣詐騙：此類型詐騙在今（2022）年更加猖獗，常以威脅的方式，例如：以非法獲取的受害者個人資料或隱私資訊，向受害者勒索贖金。

面對以上各種破壞途徑，Google目前主要採取3種方式應對：
1. 透過AI進行大規模檢測，藉此阻攔資安威脅抵達用戶端。
2. 在Chrome瀏覽器上顯示安全瀏覽警告，至今已保護超過40億台的裝置免受網路釣魚郵件、惡意軟體的侵害。
3. Gmail每天攔截將近150億條無用訊息，阻擋99.9%的垃圾、釣魚信件與惡意軟體。

問題二：需要高度保護的網安風險對象，Google只能一視同仁嗎？還是有別的作法？

此處所談的「特殊背景人士」，像是人權社運人士、記者、政治人物等，其資訊價值高，也因此遭受到的資安攻擊技術與細膩程度更高。

舉例來說，同樣都是釣魚郵件，特殊背景人士會收到「魚叉式網路釣魚」（Spear Phishing）郵件，該類型屬精心製作、具有說服力的電子郵件內容，並且在電子郵件當中挾帶可造成感染的附件檔案和連結。

對此，Google台灣回應，已有進階的保護方式來協助個人、企業抵抗駭客攻擊，包含以下4種作法：
1. 在用戶手機中內建安全金鑰（Security keys）加強保護，以協助防範駭客入侵Google帳戶。
2. 用戶也可以主動申請「進階保護計畫」（Advanced Protection Program）。根據Google網站介紹，由於進階保護計畫採用了非常嚴密的登入安全防護機制，在啟用本計畫之前，用戶必須新增或更新備援電子郵件地址和備援電話號碼，以免出現無法順利登入帳戶的情況。此外，用戶還必須開啟兩步驟驗證登入機制，並選擇使用實體金鑰進行驗證。
3. 針對企業用戶，Google Workspace採用零信任（zero trust）的安全架構，例如內建企業級存取權限、數據保護、加密與端點保護。
4. 因應遠端辦公、混合型辦公模式興起，Google將Gmail的網路釣魚與惡意軟體的保護協定延展至Google簡報、文件和試算表。假設用戶正在使用的簡報、文件和試算表包含網路釣魚連結或惡意軟體，將自動收到警報，並且被引導回到安全狀態。

問題三：Google AI +人工審查趕不上詐騙廣告產生速度？

陳幼臻對此回應，Google正積極運用機器學習（ML）技術、人工審查員，每年封鎖數10億則惡質廣告，「單在2021年，我們就在全球各地封鎖和移除超過34億則惡質廣告，以及5,890萬則違反Google金融服務政策的廣告。」

今年6月，Google也在台灣地區推出「全球金融服務廣告客戶身分驗證計畫」，即要求在當地推送金融服務廣告的客戶，必須證明已經取得相關金融服務監管機關的授權，才可以開始推廣產品和服務。

Google亦主張「將（廣告審查的）選擇權還給用戶」。具體作法例如推出「關於這則廣告」功能，幫助使用者了解為何會看到特定廣告，甚至進一步查看廣告主的登記名稱與登記地區。

在今年10月，Google推出「我的廣告中心」，協助用戶管控偏好的廣告內容、封鎖敏感類別的廣告，以此量身打造個人化的廣告體驗。

此外，用戶已經可以關閉YouTube的觀看紀錄，以及拒絕個人基本資料（例如教育程度、感情狀態、任職產業等）被第三方cookie追蹤，防止個資作為個人化廣告的識別參考。

由此看來，Google的資安防護還有許多進步空間。

責任編輯：林美欣

延伸閱讀

2023年5大資安威脅公開，手法更難纏、贖金更多！怎麼辦？企業有3大解方
TikTok新隱私政策，開放中國員工能任意查看歐洲等用戶數據！為何「出賣」用戶？
「加入《數位時代》LINE好友，科技新聞不漏接」