Google的資安事件頻傳,身為網路搜尋引擎龍頭的Google,資安防護真有到位嗎?
今年3月,實況網紅「黑羽」在YouTube上傳影片表示自己的Google帳戶遭到盜用;擁有344萬點閱的黃明志YouTube頻道影片也曾經全部消失,頻道名稱被改為俄文髒話,疑似遭俄駭客入侵。10月中旬,駭客濫用Google表單竊取小型企業個資,跳過各種Email系統的有害內容過濾機制、防毒軟體檢測,鎖定企業員工發動網釣攻擊。
依據美國電子郵件安全公司INKY研究員指出,今年已偵測超過14,000封釣魚電子郵件皆使用Google表單進行詐騙。
今(28)日,Google台灣針對「網路安全」一題進行討論,並且回應使用者常見的3大問題:
問題一:各項服務帳號設定密碼還是被駭,Google無能為力?
Google台灣政府事務及公共政策的副總經理陳幼臻指出,使用者常遇到的網安陷阱手法,包含惡意程式、釣魚手法、垃圾訊息與網路攻擊等。
Google Cloud台灣政府事務及公共政策賴秀雯則表示,隨著雙11、感恩節、聖誕等節慶到來,網路安全風險升高。根據Google Workspace(舊稱G Suite)團隊統計,在今年感恩節前2周左右,共阻擋2,310億條垃圾或釣魚信件,比平常高出10%,當中包含5種詐騙手法:
1. 禮品卡與贈品:詐騙份子可能會試圖誘騙受害者購買並轉贈禮品卡,甚至會喬裝成受害者的親朋好友,以換取免費贈品為噱頭,藉機取得受害者的信用卡資訊。
2. 慈善相關詐騙:年末、或是在特定節日也常讓人引發惻隱之心,但同時也讓詐騙份子有機可趁,不僅傷害了受害者,更對本來可以從慈善捐贈中受益的組織造成損失。
3. 特定族群詐騙:這類型詐騙會針對對象的輪廓、生活特性,以更加個人化的訊息加以詐騙,例如:特定年齡或是家長教師組織等。
4. 訂閱服務續訂:年關將近,訂閱服務的續訂詐騙訊息開始出現,這些特別不受歡迎的電子郵件通常會推銷使用者防毒軟體,企圖以提高安全性為由,來引誘受害者。
5. 加密貨幣詐騙:此類型詐騙在今(2022)年更加猖獗,常以威脅的方式,例如:以非法獲取的受害者個人資料或隱私資訊,向受害者勒索贖金。
面對以上各種破壞途徑,Google目前主要採取3種方式應對:
1. 透過AI進行大規模檢測,藉此阻攔資安威脅抵達用戶端。
2. 在Chrome瀏覽器上顯示安全瀏覽警告,至今已保護超過40億台的裝置免受網路釣魚郵件、惡意軟體的侵害。
3. Gmail每天攔截將近150億條無用訊息,阻擋99.9%的垃圾、釣魚信件與惡意軟體。
問題二:需要高度保護的網安風險對象,Google只能一視同仁嗎?還是有別的作法?
此處所談的「特殊背景人士」,像是人權社運人士、記者、政治人物等,其資訊價值高,也因此遭受到的資安攻擊技術與細膩程度更高。
舉例來說,同樣都是釣魚郵件,特殊背景人士會收到「魚叉式網路釣魚」(Spear Phishing)郵件,該類型屬精心製作、具有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。
對此,Google台灣回應,已有進階的保護方式來協助個人、企業抵抗駭客攻擊,包含以下4種作法:
1. 在用戶手機中內建安全金鑰(Security keys)加強保護,以協助防範駭客入侵Google帳戶。
2. 用戶也可以主動申請「進階保護計畫」(Advanced Protection Program)。根據Google網站介紹,由於進階保護計畫採用了非常嚴密的登入安全防護機制,在啟用本計畫之前,用戶必須新增或更新備援電子郵件地址和備援電話號碼,以免出現無法順利登入帳戶的情況。此外,用戶還必須開啟兩步驟驗證登入機制,並選擇使用實體金鑰進行驗證。
3. 針對企業用戶,Google Workspace採用零信任(zero trust)的安全架構,例如內建企業級存取權限、數據保護、加密與端點保護。
4. 因應遠端辦公、混合型辦公模式興起,Google將Gmail的網路釣魚與惡意軟體的保護協定延展至Google簡報、文件和試算表。假設用戶正在使用的簡報、文件和試算表包含網路釣魚連結或惡意軟體,將自動收到警報,並且被引導回到安全狀態。
問題三:Google AI +人工審查趕不上詐騙廣告產生速度?
陳幼臻對此回應,Google正積極運用機器學習(ML)技術、人工審查員,每年封鎖數10億則惡質廣告,「單在2021年,我們就在全球各地封鎖和移除超過34億則惡質廣告,以及5,890萬則違反Google金融服務政策的廣告。」
今年6月,Google也在台灣地區推出「全球金融服務廣告客戶身分驗證計畫」,即要求在當地推送金融服務廣告的客戶,必須證明已經取得相關金融服務監管機關的授權,才可以開始推廣產品和服務。
Google亦主張「將(廣告審查的)選擇權還給用戶」。具體作法例如推出「關於這則廣告」功能,幫助使用者了解為何會看到特定廣告,甚至進一步查看廣告主的登記名稱與登記地區。
在今年10月,Google推出「我的廣告中心」,協助用戶管控偏好的廣告內容、封鎖敏感類別的廣告,以此量身打造個人化的廣告體驗。
此外,用戶已經可以關閉YouTube的觀看紀錄,以及拒絕個人基本資料(例如教育程度、感情狀態、任職產業等)被第三方cookie追蹤,防止個資作為個人化廣告的識別參考。
由此看來,Google的資安防護還有許多進步空間。
責任編輯:林美欣
