Google 如何確保您的資料安全
網絡罪犯採用多種方法來入侵使用者帳戶,從以駭客身分入侵、仿冒詐騙以至惡意軟件。Google 的 Stephan Micklitz 和 Tadek Pietraszek 確保他們無法得逞。
Pietraszek 先生,您和您的團隊負責保障使用者帳戶的安全,您們是怎樣防止駭客存取帳戶的資料?
使用者帳戶安全首席軟件工程師 Tadek Pietraszek:首先,我們必須能夠偵測初步攻擊。我們利用超過一百個變項來識別可疑活動。假設您居於德國,很少到外地旅遊,當有人嘗試從另一個國家/地區存取你的帳戶時,便會觸發警告。
Google 私隱及安全團隊工程總監 Stephan Micklitz:因此我們有時會要求使用者確認所提供的電話號碼,又或者只有帳戶持有人才知道的其他資料。
這類攻擊有多常出現?
Pietraszek:其實每天都有數十萬宗網絡攻擊。我們面對的最大問題是網絡上充斥著從被入侵網站盜用的無數使用者名稱和密碼清單,部分使用者可能會為多個不同帳戶設定同一密碼,因此這些清單也會包含 Google 帳戶登入資料。
最大的安全威脅是否就來自這些清單?
Pietraszek:絕對是,來自這些清單和傳統仿冒詐騙攻擊。幾乎每個人都曾經收到過犯罪者嘗試套取帳戶密碼的電郵。我們當然會做好本份,確保他們無法得逞。假如我們認為傳送至你 Gmail 收件箱的電郵有可疑,便會以警告標示,讓你可以小心查看,我們也會自動過濾問題郵件。我們的 Chrome 瀏覽器也會在你嘗試瀏覽已知的仿冒詐騙網站時發出警示。
Micklitz:仿冒詐騙基本上可以分為兩種:一種是大規模的電郵,詐騙者希望盡量收集最多的登入資料;而另一種就是稱為「魚叉式仿冒詐騙」,專門針對特定目標對象的帳戶。這可能是持續數個月的複雜佈局,詐騙者會仔細審視受害人的生活,然後發動針對性的攻擊。
「如果我們認為傳送至你 Gmail 收件箱的電郵有可疑,便會以警告標示。」
Tadek Pietraszek
Google 如何協助使用者防止這些攻擊?
Pietraszek:其中一個例子是我們的兩步驗證系統。很多使用者在使用網上銀行帳戶時,都很習慣使用這類系統。舉例來說,如果你要轉帳,便可能需要同時輸入密碼和透過短訊收到的驗證碼。Google 在 2009 年推出雙重認證,比其他主要電郵供應商都早得多。此外,Google 使用者如果已登記手機號碼,就可自動享用類似程度的保障,以防止可疑人士嘗試登入。
Micklitz:雙重認證是個很好的方法,但即使是短訊驗證碼,亦有可能被他人截取。舉例來說,不法份子可能會聯絡你的流動服務供應商,並嘗試獲取另一張 SIM 卡。因此使用藍牙傳送器或 USB 記憶棒等實體安全憑證來進行驗證,就會更加安全。
Pietraszek:我們在進階保護計劃也有使用這種安全憑證。
那個計劃是怎樣的?
Pietraszek:「進階保護計劃」是由 Google 於 2017 年推出的,主要服務對象為有較大可能被駭客入侵的使用者,例如記者、行政總裁、異見人士及政治人物。
Micklitz:除了實體安全密鑰外,如果使用者遺失了密鑰,便必須採取額外步驟來驗證身分,從而限制第三方應用程式的資料存取權。
您可以與我們分享曾遇過的重大網絡攻擊和相關的應對方法?
Pietraszek:2017 年初曾發生過一次攻擊。有駭客製作了一個惡意程式,可存取受害人的 Google 帳戶並向使用者的聯絡人傳送假冒電郵。這些電郵會要求收件者向假冒的 Google 文件授予存取權。如果收件者照做,便會誤將存取權授予惡意軟件,更會自動向自己的聯絡人傳送相同的假冒電郵。這個病毒快速傳播。我們已為這種情況制定好應急方案。
Micklitz:以這個個案為例,我們在 Gmail 封鎖了這些電郵,撤銷了程式的存取權以保護帳戶。我們當然亦新增了系統保護措施,以免日後受到同類攻擊。Google 帳戶不時受到攻擊,而我們的自動系統能夠提供最有效的保護措施。當然,保護措施的成效取決於我們能否透過 Google 帳戶以外的方式聯絡使用者,例如第二個電郵地址或手機號碼。
「其實,只需遵守一些基本規則就通常足夠了。」
Stephan Micklitz
安全對於一般使用者有多重要?
Pietraszek:很多人都認為安全非常重要,但實際制定安全措施就可能十分繁瑣。這解釋了為何使用者會在不同的帳戶使用同一組密碼,而這是他們所犯的最大錯誤。我們的工作就是向他們解釋怎樣以最簡單的方式保護自己的帳戶。正因如此,我們為 Google 帳戶提供了安全檢查功能,讓他們輕鬆檢查自己的設定。
Micklitz:其實,只需遵守一些基本規則就通常足夠了。
是哪些規則呢?
Micklitz:避免在多個服務上使用同一組密碼、安裝安全性更新,同時避免下載可疑軟件。提供手機號碼或備用電郵地址,讓系統可以透過其他方法聯絡你。同時要啟用手機的螢幕鎖定功能,以免未經授權的人能輕易存取手機資料。能做到這幾步已經很不錯了。
攝影:Conny Mirbach
探索 Google 如何協助確保人人網上安全。
瞭解我們如何保障更多使用者的網絡安全。
瞭解詳情