【防詐基本功】 Google提醒:用戶避免使用單一組密碼 學會辨識釣魚郵件

記者陳璽安/報導

針對網路詐騙,Google觀察到,用戶怕記不住密碼而過度使用「同一組密碼」,且缺乏對釣魚電子郵件的警覺性,是造成資訊安全漏洞的重要因素;Google建議用戶在網路使用各式服務時使用「雙重驗證」,也要學會辨識「釣魚」信件或網站,避免把個人資訊提供給這些釣魚網頁而受害。

Google公司在昨(4)日舉辦「Safer with Google - Google 上網安全研討會」,在會中分享保護使用者的上網安全的方法與措施,以及如何打擊詐騙廣告。其中值得關注的新措施是八月底剛在台灣實施的「金融服務廣告商認證計畫」,這項計畫要求金融廣告主在投放廣告前,應先取得台灣金融主管機關授予的憑證,Google希望透過這項措施,減少金融詐騙廣告的出現。

Google也強調,維護上網安全的關鍵在於使用者行動,使用者的行動則有賴教育,此則有賴事實查核夥伴協助將正確觀念傳播出去。

帳戶安全保護措施 需平衡安全性與便利性

在「Safer with Google - Google 上網安全研討會」中,Google安全和反濫用研究主管(Security & Anti-Abuse Research Lead, Counter-Abuse Technology) Elie Bursztein 說明了Google的安全防護機制與帳戶安全,包括對於避免帳戶盜用的措施與機制,以及針對惡意網站與釣魚郵件而設立安全屏障。

Elie Bursztein指出,這些安全保護機制的難度在於,安全保護措施可能增加使用者的不便,因此如何在安全性與便利性取得平衡,是資安防護機制的重要課題。

針對釣魚郵件,Bursztein 指出,Gmail內建阻擋機制,全球每日有超過一億封釣魚郵件被阻擋,且值得注意的是,每天阻擋的釣魚郵件中,有68%與前一天不同,這顯示釣魚郵件的內容與技術每天都在演變,也迫使資安團隊每日都要精進技術。


圖1:全球每日有超過一億封釣魚郵件被阻擋,圖為電郵安全通知。記者陳璽安/截圖。

Bursztein 指出,防止釣魚郵件的最大難處在於民眾警覺性不足,據歐洲與多國的調查,有45%用戶不知道什麼是網路釣魚,也因此資安教育、推廣資安防護意識至關重要。

他也指出, 66%用戶在網路上使用相同密碼,為使用者帳戶安全增添風險,特別是在第三方資料外洩問題普遍的今日,因此,民眾有資安意識,學會保護帳戶資訊安全,非常重要。


圖2: Elie Bursztein 說明Google的安全防護機制與帳戶安全。圖/台灣事實查核中心攝。

 業界未有共識 繁瑣的安全機制可能造成使用者混亂

Bursztein 指出,用戶在使用不同服務和平台登入時,使用「雙重驗證」服務,可以得到多一層保護。

然而 ,Bursztein 也點出,雖然大家都知道要預防第三方資料外洩、保護帳戶安全,但對「預防」沒有共識是現在產業界的最大問題。要採取哪種形式的雙重驗證?什麼對保護使用者來說是重要的?這些都沒有共識。並且現在許多機構都有自己的安全政策,每個產品、每個服務都要求不同認證,這些繁瑣的服務可能會造成使用者訊息混淆,增添困擾與混亂。

究竟我們要打造什麼樣的安全機制?什麼是正確、合適的機制?如何在「保護使用者資訊安全」與「提供使用者便利」間取得平衡?Bursztein 認為這些都需要產業界、科技界、各大公司通力合作,才有機會達成。

至於用戶要怎麼管理「記不住」的各種密碼,Bursztein 建議,用戶可使用「密碼管理員」、「密碼管理器」,但調查顯示僅有15%的美國用戶使用網路密碼管理服務。Google目前針對用戶記不住密碼、使用單一密碼的狀況,會提供「密碼簡查提醒」,提醒用戶去更換密碼,另外也會讓用戶在身份憑證外洩資料庫去檢視自己的帳密安全。

Google運用廣告政策去打擊詐騙廣告

Google政策實施與溝通專家(Policy Implementation and Comms Specialist, Trust and Safety)Hyewon Moon 說明 Google如何強化廣告安全、打擊詐騙廣告。

為防堵與限制誤導及有害的廣告,Google擬定下列政策,包括禁止使用釣魚技術獲取使用者資料、禁止不正確的公司敘述、禁止在廣告中聲稱免費卻在產品中收取費用等。

Hyewon Moon表示,Google的廣告政策也禁止不可信的廣告說詞,包括神奇療效、快速致富、不實的公共人物死亡訊息等等,同時限制企業在廣告中主張報酬率,或是做出「以極小風險獲極大報酬」的不實承諾。據此,Google每年移除及封鎖34億則廣告,5890萬則金融服務廣告遭封瑣及移除。

金融類訊息要廣告主取得主管機構認證

為了更有效率地防止金融詐騙廣告,Google也和政府、當地金融主管機關與第三合合作夥辦合作「金融服務廣告商認證計畫」,要求金融廣告的廣告主必須取得當地金融主管機關的驗證。


圖3:首波「金融服務廣告商認證計畫」在台推出。圖/台灣事實查核中心攝。

Hyewon Moon說,「金融服務廣告商認證計畫」在2021年首度於英國實施,成功減少金融詐騙廣告,因此Google在今年將這項制度擴及全球,第一波將選在台灣、澳州、新加坡等國展開。據Google網站,這項制度在台灣已於2022年8月30日正式上路。

健康線上不實廣告防治的成效與不足

對於打擊不實廣告,線上與會的衛福部中醫藥司代表指出,衛福部在今年三、四月收到大量民眾檢舉,有廣告盜用衛服部部長陳時中的肖像去販售產品,在對Google提出檢舉後,近期僅收到一則相同廣告的檢舉案件。

衛福部中醫藥司代表說,對於這種不實醫藥廣告,衛福部通常會去追查委託刊登廣告者,並依法辦理,但線上廣告卻無法追查,只能把違規訊息放在官網供民眾參考,建議Google對販售藥品的廣告加以把關,並在檢舉者檢舉後給予回饋,例如告知處理措施,或是告訴檢舉者Google需要什麼資訊以利後續處理程序。


圖4:Google政府與公共事務部門主管陳幼臻(Anita Chen) 說,對於資訊安全的守護,最重要的是使用者有所警覺、不要點擊有害資訊。圖/台灣事實查核中心攝。

預防、教育、平台措施 資安防護須要多管齊下

Google安全工程中心區域營運主管Norman Ng 與政府與公共事務部門主管陳幼臻(Anita Chen)均提到「使用者行動」對於網上安全的重要性。

Norman Ng 表示,即使Gmail可以擋下很多釣魚郵件,但還是會有一些漏網之魚,這些漏網之魚有賴使用者協助檢舉,因此他認為:「最重要的是人的行動。」。此外,Norman Ng 也提升大家的資安防護意識是很重要的,尤其在人手一機、數位普及率高的今日,資訊安全的教育與推廣需要很多合作夥伴投入。

 陳幼臻提醒:「最重要的就是使用者看到這個訊息(指不實資訊、釣魚郵件)的時候不要點下去。」她說,對於資訊安全的守護,一是事前預防,二是教育,三是平台方給予警告,要讓使用者有所警覺,必須不斷推廣數位識讀、推廣查核教育,希望透過與事實查核合作夥伴協力,將資訊安全觀念帶到各角落。