Passke...
」 Google Gmail
Google帳戶小心被盜!美國10大熱門「受駭」平台排行曝 臉書、IG都上榜
現代社會科技發達,數位帳戶已成為現代人使用網路的「必要條件」,卻也淪為駭客眼中的肥羊。國外數據分析機構「Click Insight」最新公布一份研究報告指出,美國2024年11月至2025年10月期間,Google帳號以壓倒性的數據奪下全美最常受駭平台榜首。因Google帳號連結多項關鍵服務,被駭客視為獲取個人資料的「聖杯」,月均相關受駭搜尋量突破8.4萬次。綜合外媒報導,國外數據分析機構「Click Insight」研究報告中,關於帳號遭駭、被盜用的相關搜尋中,以Google帳戶最多,平均每月超過8.4萬次,明顯高於其他平台。緊隨其後的是Meta旗下的社群龍頭Facebook,平均每月有逾4萬次受駭相關搜尋,而旗下另一個社群Instagram則排在第4名,有逾2.5萬次。令人意外的是,知名遊戲平台Roblox竟奪下排行榜第3名,高於不少社群平台,分析後發現,Roblox有近四成用戶為13歲以下孩童,由於青少年族群資安意識較為薄弱,使其成為犯罪者輕易下手的目標。而Microsoft帳號則以1.86萬次的搜尋量,位居第5名。該報告列出的前十名受駭平台還包括 Snapchat、Apple、Amazon、TikTok 以及熱門遊戲Fortnite。這顯示出無論是電子商務、社群互動還是線上遊戲,只要涉及用戶憑證與個資,皆處於駭客的威脅之下。資安專家對此強調,傳統的單一密碼已不足以應對現今的網路攻擊。專家呼籲,保護數位資產的最佳防線是揚棄簡單密碼,並全面啟用雙重認證(2FA)。此外,建議民眾善用支援通行密鑰(Passkeys)的密碼管理員,透過生物辨識或硬體裝置進行身分驗證,才能在日益嚴峻的網路環境中,有效保障個人隱私與帳號安全。2025美國十大熱門受駭平台排行榜,根據搜尋趨勢統計,前十名受駭平台依序如下:1. Google2. Facebook3. Roblox4. Instagram5. Microsoft6. Snapchat7. Apple8. Amazon9. TikTok10. Fortnite
外傳有1.83億信箱名單外洩 Google滅火:沒「新一波Gmail攻擊」
澳洲資安研究員杭特(Troy Hunt)近期表示,一個由惡意程式彙整而成的「竊取記錄檔」(stealer logs)資料集在黑市流通,規模約3.5太位元組(terabytes),當中涵蓋約1.83億組獨特電子郵件地址與對應曾輸入過的網站及密碼。杭特提醒,所有主流電郵服務供應商的地址都在名單裡,過往此類外洩案裡Gmail往往占有相當比例,呼籲使用者主動檢查帳號是否遭殃。根據《unilad》報導,杭特受訪時表示,這並非單一網站被攻破的集中外洩,而是長期感染使用者電腦的惡意程式,在背景中攫取瀏覽器儲存的憑證、表單輸入與自動填入資料,持續生成多份記錄檔並在不同論壇與私密通道反覆流傳。他在部落格形容,這類資料來源更像一條「不斷噴出個資的水龍頭」,一旦資料外流,往往會透過無數管道再散播。杭特提到,受影響族群可能涵蓋使用Outlook、Yahoo等服務者,但他特別提及Gmail用量龐大,風險不容小覷。就已知資訊而論,這批資料集的特徵在於「廣且久」。從數量上看,約1.83億個獨立電郵地址本身已具規模;從型態上看,除帳號欄位外,同步出現的「曾填寫過的網站」與「對應密碼」更讓撞庫攻擊的成功率大幅提升。資安社群關注的焦點,落在這些記錄並非一次性洩漏,而是多年累積、跨平台彙整的結果。當攻擊者取得新的竊取記錄檔,便能與舊資料交叉比對,快速拼湊出更完整的身分圖譜。消息曝光後,Google在受訪時回應,表示並不存在「新的、特定於Gmail的攻擊」。指稱近日媒體所談的是早已被業界掌握的資訊竊取活動,目標分散於多種網路行為範疇,Google以多層防護偵測到憑證異常時,會主動觸發密碼重設;同時鼓勵用戶開啟兩步驟驗證(2-step verification),並採用通行金鑰(passkeys)作為更安全的身份驗證方式。LADbible集團已向Google要求進一步說明。在面對這波資料外洩時,杭特給出具體作法:前往他經營的查核平台Have I Been Pwned,於搜尋欄鍵入自己的電子郵件地址,系統會比對近十年公開可查的外洩名冊,回報該地址是否曾出現在已知事件中。若檢索結果顯示「命中」,建議立刻更換對應電郵的密碼,並逐一檢視以該郵件地址註冊的其他服務,只要與舊密碼相同或相近,就一併更換;其次,啟用雙重或多重驗證,將簡訊OTP或驗證器App乃至通行金鑰納入登入流程,降低單一密碼失守的風險。需要留意的是,這批資料並非全都「最新鮮」。資料集裡往往混雜舊年外洩樣本與近期竊取記錄,造成使用者誤以為「剛剛被駭」。正因來源時間軸拉得很長,檢查結果即便來自多年前事件,依然值得現在就更改密碼,避免被攻擊者以舊資料嘗試登入現行帳號。對企業與高風險族群來說,導入密碼管理器、強制長度與複雜度、全站啟用MFA,以及監看異常登入行為,都是當下能立即落地的緩解手段。
Gmail用戶注意! Google警告收到「這封信」別點:應立即刪除
Google近日對全球近20億Gmail用戶發出警告,若收到來自「no-reply@accounts.google.com」的電子郵件,千萬不要點擊內容的連結,建議立即刪除。Google表示,這類信件會假裝成Google官方通知,聲稱用戶的Google帳戶遭執法部門傳喚,誘騙用戶點擊連結,藉此竊取個資或信用卡資料,散播惡意軟體。根據《每日郵報》報導,這類新型詐騙被稱作「無回覆」電子郵件攻擊,受害者會收到來自no-reply@accounts.google.com的假官方信件,內容聲稱Google已遭到執法部門傳喚,要求用戶公開帳戶中的所有資料。軟體開發者強森(Nick Johnson)指出,這種電子郵件詐騙利用Google系統漏洞,透過一種名為Google OAuth的工具,讓第三方應用程式在獲得用戶授權後存取Google帳戶。詐騙集團會先建立一個與Google相似的假網站,並在網站上設立電子郵件帳戶,再向Google註冊一個假的應用程式,寄送詐騙信件。當用戶點進信件中的連結後,會被導向一個看起來像Google的登入頁面,一旦登入授權,詐騙者就可以存取帳戶內容,竊取用戶的個資。網路安全公司卡巴斯基(Kaspersky)表示,這類信件的寄件人信箱多以「me」開頭,像是「me@googl-mail-smtp-out-198-142-125-38-prod.net」,讓許多用戶在收件匣中看到的是「me」,容易讓人誤信郵件來自認識的人。Google提醒,若收到類似信件,應提高警覺立即刪除,不要點擊或回覆,若要查詢帳戶安全狀況,請直接在瀏覽器輸入「support.google.com」進入Google官方頁面查詢。另外,Google也建議用戶檢查帳戶安全設定,啟用通行金鑰(Passkeys),這是一種無需密碼、防網路釣魚的技術,使用儲存在使用者裝置上的加密金鑰,並以指紋、臉部掃描或PIN碼等生物識別技術,進行身份驗證。
駭客發動「高階」網路釣魚攻擊 Google急對18億Gamil用戶發警告
針對近期一起涉及18億名Gmail用戶的「高階」網路釣魚攻擊事件,Google緊急發出安全警告,提醒全球用戶提高防備。這場攻擊的揭露者是加密貨幣平台以太坊(Ethereum)的開發人員強森(Nick Johnson),他於4月16日在X平台上公開說明整起過程,表示攻擊者利用了Google基礎設施中的一項漏洞,且Google至今仍未修補,恐將導致類似事件更加頻繁。根據《每日郵報》報導指出,強森收到一封看似來自Google的電子郵件,內容稱其帳號遭傳票調查,需交出存取權限。該信不但使用了合法的Google地址發送,還通過了DKIM簽章驗證,這代表該郵件在傳送過程中未被竄改。更具欺騙性的是,這封信被歸類於與Google其他安全警示相同的對話串中,使得Gmail用戶難以察覺異常。唯一可疑之處,是該釣魚連結實際架設在sites.google.com,而非正牌的accounts.google.com。當強森點擊後,進入一個看似Google「支援入口」的頁面,點選「上傳更多文件」或「查看案件」後,都會被導向與Google官方頁面幾可亂真的登入頁,要求他輸入帳號密碼。強森警告,若不慎輸入憑證,駭客即可藉此入侵帳號,他本人則在發現異常後立刻中止操作。Google後續對此事件進行回應,證實這起來自特定威脅行為者攻擊行為的存在,並已啟動封鎖措施。Google發言人表示,Google鼓勵用戶啟用雙重驗證與通行密鑰(passkeys)來提高防禦。Google也重申,官方絕不會主動要求用戶提供密碼、一次性驗證碼或確認推播等帳號憑證,更不會打電話要求提供此類資訊。這次攻擊的詐騙策略之一,是利用Google Sites製作釣魚網站,假冒官方頁面來取得信任。強森表示,許多用戶只要看到網址中含有「google.com」就會誤以為安全,進而上當。強森也警告,若使用者僅以密碼登入Gmail帳號,遭竊後幾乎無任何保護機制能阻止駭客入侵。駭客甚至能利用自己的裝置產生雙重驗證碼,繞過安全措施。相較之下,通行密鑰則具備裝置綁定機制,無法被駭客遠端使用。Google也補充表示,近期已更新教育資源,說明如何辨識詐騙郵件,並強調即便官方會以電子郵件與用戶聯繫,也絕不會要求透過連結更新帳號或付款資訊。多數詐騙郵件會以通用稱呼開頭,並製造緊急情境,引導用戶點擊連結提供資料。此外,由於這類詐騙常假冒司法或政府機關的傳票,Google在其《隱私權與條款》頁面中也特別說明,若真收到來自政府的要求,公司會先發信通知使用者或其帳號管理員,除非法律明令禁止;一旦禁令解除,Google會補發通知。因此,若收到要求提供個資或帳號資訊的電郵,用戶應避免直接點擊郵件內連結,而是手動開啟新瀏覽器輸入網址以驗證真偽。Google再次提醒「每當網站要求你提供個人資訊時,請提高警覺。我們從不主動要求密碼或其他帳號資訊。」
不用密碼! Google推「Passkeys」登入速度快40%
Google在今年5月時推出了「Passkeys(密碼金鑰)」,該功能是一種不需要密碼的登入方式,官方宣布,未來預設的登入會改為此方式,將比傳統密碼快上40%。Google、蘋果、微軟等,透過FIDO聯盟發布,以Passkeys為新的驗證身份方式,取代數字、字母搭配的傳統密碼,改以內建指紋、臉部辨識,或是螢幕解鎖Pin碼等進行驗證,此項新方式更能避免密碼因為儲存在雲端中,而遭網路釣魚竊取。Google表示,11日開始登入Google帳號後,預設的選項都會是Passkeys,並非再需要用戶輸入密碼,且會導引用戶創建專屬的Passkeys,從簡登入流程,比起傳統輸入密碼快40%。目前已許多平台開始採用Passkeys,包含微軟、蘋果都已經支援,Google將會慢慢拓展至YouTube、Google Maps等平台,而Uber、eBay、WhatsApp將在近期加入。Google補充,新技術需要一段時間才會讓大眾習慣,因此傳統密碼登入方式仍會保留,用戶也可以在Google帳號中的「安全性」選擇關閉「僅在必要時才輸入密碼」,暫停使用Passkeys。