Google 25億賬戶大外洩 學會4招自保

此次Google事件並非傳統系統漏洞，而是典型的社交工程案例。駭客沒有強攻系統，而是冒充官方內部流程，誘使員工交出登入憑證，藉此滲透企業系統。
資料外洩後，詐騙集團展開「二次攻擊」，假冒Google官方向全球用戶發送釣魚郵件與電話詐騙。有些郵件嵌入偽造登入頁面，要求輸入驗證碼或重設密碼；有些電話偽裝成美國加州的官方客服號碼，聲稱賬戶異常並引導用戶操作。
倘若用戶一時大意，往往將敏感資訊拱手奉上，導致Gmail賬戶被奪，甚至進一步波及Google Drive、Photos與YouTube等雲端服務。

更嚴重的是，現代人經常以Google賬號作為單一登入（SSO）認證，串連社交平台、工作協作系統甚至金融服務。一旦主賬號失守，極易引發骨牌效應。
駭客藉由資料庫中蒐集來的資訊，不僅能針對既有賬號進行撞庫攻擊，還能挾持使用者的數位身分，進一步對銀行、網銀或線上商城發動詐騙，潛藏後果不容小覷。
Google方面特別強調，用戶密碼本身並未外洩，儘可能降低事件衝擊。但無論官方聲明如何，釣魚與詐騙活動的確大幅增加。
近期已有不少用戶回報，接獲假冒Google的電子郵件與來電，內容不外乎通知「賬戶遇到風險」，要求填寫額外驗證資訊或下載惡意應用程式。

這也再次說明，資料一旦外流，駭客便毋須再靠蠻力突破，而是利用最廉價高效的方式，欺騙用戶自行洩密。
那麼如何避免賬戶被盜？首先是立即更換密碼，避免重複使用舊組合。密碼應具備長度、大小寫字母、符號及數字等。

定期檢查登入紀錄

其次，是全面啟用兩步驟驗證，並儘量避免僅依賴簡訊方式，因為駭客可以透過木馬程式或其他技術攔截簡訊。最佳辦法是使用驗證器App（例如Google Authenticator、Microsoft Authenticator），甚至採用硬體安全金鑰。
此外，分散風險同樣重要。不要將所有服務綁定同一個Google賬戶，也不要將所有備用信箱設為同一個地址。

最後，定期檢查賬戶登入紀錄與活動，若發現陌生裝置或異地登入，應立刻撤銷權限並重設密碼，必要時可透過Google官方渠道申訴或凍結賬戶。
在數碼年代，用戶與企業的身分是最珍貴卻最脆弱的資產。今次事件揭示全球對單一平台的依賴與資安挑戰。企業與個人必須建立「零信任」意識，即使訊息看似官方也要核實，並隨時調整使用習慣，以長遠安全優先。