Google 如何保護你的資料安全

網路犯罪者會透過入侵、網路釣魚和惡意軟體等各種方法盜用使用者的線上帳戶,Google 的 Stephan Micklitz 和 Tadek Pietraszek 負責防止這類犯罪行為。

Pietraszek 先生,你和你的團隊負責保護使用者的帳戶安全,請問你們如何防止駭客盜用帳戶?

使用者帳戶安全性首席軟體工程師 Tadek Pietraszek:首先,重點在於要能夠偵測到初步攻擊。我們會運用上百個變數找出可疑的活動。假設你住在德國而且幾乎不出國,當有人嘗試從其他國家/地區存取你的帳戶時,就會觸發警示。

Google 隱私權與安全性團隊的工程總監 Stephan Micklitz:也正是因為如此,我們有時會請使用者確認自己先前提供的電話號碼,或是確認只有帳戶持有人才會知道的其他資訊。

Tadek Pietraszek (左) 認為,網路釣魚是線上安全性的最大威脅之一。

這類攻擊事件的發生頻率為何?

Pietraszek:每天都會發生數十萬次的網路攻擊事件,最大的問題在於網際網路上流傳了無數個從遭駭網站流出的使用者名稱和密碼清單。由於許多使用者都為不同帳戶設定了相同的密碼,因此這些清單中也有 Google 帳戶的登入資料。

這類清單是最大的安全性威脅嗎?

Pietraszek:正是如此。此外,典型的網路釣魚攻擊也是一大威脅,幾乎所有人都收過犯罪者為了竊取帳戶密碼而寄送的電子郵件。當然,我們會盡可能確保犯罪者無法得逞。假如系統判定寄到 Gmail 收件匣的電子郵件很可疑,就會標示警告訊息,以便你仔細檢查信中的內容,或是讓系統自動篩除郵件。另外,當你要造訪已知的網路釣魚網站,Chrome 瀏覽器也會傳送警示訊息。

Micklitz:網路釣魚手法基本上分成兩種類型。第一種方法是傳送大量電子郵件,盡可能蒐集更多登入資料;第二種是「魚叉式網路釣魚」,用於攻擊特定的使用者帳戶。後者可能經過數個月的縝密籌備,在此期間,犯罪者會仔細觀察受害者的日常生活,然後發動精準的針對性攻擊。

「假如系統判定寄到 Gmail 收件匣的電子郵件很可疑,就會標示警告訊息。」

Tadek Pietraszek

Google 如何協助使用者防範這類攻擊?

Pietraszek:我們的兩步驟驗證系統就是一個例子。許多使用者對這類系統並不陌生,因為他們的網路銀行帳戶也採用了同樣的系統,例如銀行可能要求你必須輸入密碼和簡訊驗證碼才能轉帳。Google 在 2009 年就推出雙重驗證功能,比大多數其他主要電子郵件服務供應商都來得早。此外,如果 Google 使用者已註冊手機號碼,就會自動享有類似的防護措施,以防範可疑的登入嘗試行為。

Micklitz:雙重驗證功能是個好方法,不過簡訊驗證碼也可能會遭人攔截,例如犯罪者可能會聯絡你的行動電信業者,試圖申請第二張 SIM 卡。因此,使用藍牙傳訊器或 USB 金鑰等實體安全性權杖進行驗證會更安全。

Pietraszek:我們在進階保護計畫中使用這項資源。

那是什麼樣的計畫?

Pietraszek:Google 在 2017 年推出進階保護計畫,適用對象為帳戶較容易遭入侵的使用者,例如新聞記者、企業高層、政治異議人士和政治人物。

Micklitz:除了要求使用者使用實體安全金鑰,我們也會在使用者遺失金鑰時,要求使用者必須完成額外身分驗證步驟,以限制第三方應用程式存取資料。

Stephan Micklitz
Sicherheitsschlüssel

工程總監 Stephan Micklitz 負責處理全球 Google 的隱私權與安全性問題。他於慕尼黑工業大學 (Technical University of Munich) 攻讀電腦科學,並從 2007 年下半年起於 Google 慕尼黑辦公室服務。

能否分享重大網路攻擊的案例,並說明你們如何因應?

Pietraszek:有一次重大攻擊事件的案例發生在 2017 年上半年。當時駭客開發了惡意程式盜用 Google 帳戶,然後寄送假電子郵件給受害者的聯絡人,要求對方將存取權授予偽造的 Google 文件。如果收件者按照指示操作,就會在不知情的情況下授權給惡意軟體,這些惡意軟體就能自動將同樣的假電子郵件寄送給他們的聯絡人。病毒就這樣快速散播出去了。我們已制定這類情況的應變計畫。

Micklitz:以此情況為例,我們阻止了這類電子郵件透過 Gmail 散布、撤銷已授予惡意程式的存取權,然後保護帳戶的安全。當然,我們也加入系統性保護機制,讓有心人士未來更難發動類似的攻擊。Google 帳戶經常受到攻擊,而我們的自動化系統可提供最有效的安全防護,不過這些機制能否發揮作用,自然也取決於我們是否能透過 Google 帳戶以外的方式與使用者取得聯繫,例如第二個電子郵件地址或手機號碼。

「實際上,使用者通常只要遵守幾個基本原則就夠了。」

Stephan Micklitz

對一般使用者而言,安全性有多重要?

Pietraszek:許多人都很重視安全性,但對他們來說,採取必要的安全防範措施可能很無聊乏味。例如許多使用者常在多個帳戶中重複使用相同的密碼,就是這個原因,但這是最糟糕的做法。我們的工作就是向使用者說明,如何以最輕鬆的方式保護帳戶,因此我們在 Google 帳戶中提供安全設定檢查功能,方便使用者輕鬆檢查自己的設定。

Micklitz:實際上,使用者通常只要遵守幾個基本原則就夠了。

請問是哪些基本原則?

Micklitz:不要在多項服務中重複使用相同的密碼、避免安裝可疑的軟體,而且應安裝安全性更新,以及提供電話號碼或備用電子郵件地址做為備用聯絡方式。另外,只要啟用手機的螢幕鎖定功能,未經授權的人就更難使用你的手機。大家可以先從以上基本步驟開始做起。

照片來源:Conny Mirbach

資訊安全

瞭解跟世界上其他公司相比,Google 如何保障更多使用者的線上安全。

瞭解詳情