🎙️摘要 (Summary)
近期駭客組織 ShinyHunters(亦稱 UNC6040)成功入侵 Google 的 Salesforce 資料庫。儘管 Google 澄清消費者 Gmail 帳戶的密碼並未直接洩露,且外洩資料多為公開可用的企業聯絡資訊,但這批資料已成為駭客進行高度個性化網路釣魚(Phishing)和語音釣魚(Vishing)詐騙的工具,可能導致多達數億 Gmail 用戶面臨個資被盜的風險。本集節目將詳細介紹本次事件的核心攻擊手法——駭客主要利用人性弱點,假冒 IT 人員誘導員工授權惡意應用程式。同時,我們將探討 Google 如何強化帳戶安全,包括**建議用戶啟用 Passkey(通行密鑰)**以取代傳統密碼,以及為了現代化與提升安全性,將在 2026 年 1 月淘汰 Gmailify 和舊版 POP 郵件協定。面對日益猖獗的社交工程攻擊,了解如何設定強密碼、啟用多因素驗證 (MFA),以及辨識釣魚信件成為保護個人數位資產的關鍵。
📌 Keypoint (重點)
Google 資料庫遭駭事件釐清: 駭客集團 ShinyHunters/UNC6040 成功入侵 Google 的 Salesforce 資料庫。雖然曾有報導指出可能導致高達 25 億 Gmail 用戶個資外洩,但 Google 證實洩露的數據僅限於基本的、大多公開可見的中小型企業聯絡資訊,消費者的 Gmail 密碼和 Cloud 帳號並未直接受損。
核心攻擊手法:社交工程與釣魚詐騙: 這次攻擊並非利用技術漏洞,而是通過冒充 IT 人員等語音釣魚(vishing)或高度個性化釣魚郵件,誘導員工授權惡意應用程式,藉此竊取大量敏感數據。社交工程被認為是網路犯罪分子獲取數據的頭號手段,因為人是資安鏈中最薄弱的環節。
Google 提倡啟用 Passkey(通行密鑰): Google 建議用戶使用 Passkey (密碼金鑰) 或非簡訊型二階段驗證來加強帳戶安全。Passkey 允許用戶使用指紋、臉部辨識或裝置解鎖來登入 Google 帳戶,具有防釣魚特性,能有效取代傳統密碼,提升安全性。
淘汰舊版郵件功能: Google 將從 2026 年 1 月開始終止 Gmailify 和使用 POP 協定的「從其他帳戶檢查郵件」功能。此舉旨在推動用戶轉向更安全、更靈活的 IMAP 協定,因為 POP 協定已過時,缺乏多因素檢查等現代安全防護。
用戶自保措施: 用戶應提高警覺,立即變更密碼,使用強大且不重複的密碼(建議至少 12 個字元),並啟用兩步驟驗證 (2FA)。同時,切勿點擊或輕信聲稱來自 Google 的可疑電子郵件、簡訊或電話,並應定期執行 Google 安全性檢查。
--------------------------------------------------------------------------------
📚 參考文獻 (References)
25億Gmail帳戶個資外洩?Google證實「系統遭駭」:萬年懶人密碼怎麼改?如何啟用Passkey? 作者: 李先泰 日期: 2025-09-01 來源:
https://www.bnext.com.tw/article/84345/gmail-leak-passkey-security
Gmail Hack 2025: 2.5 Billion Accounts at Risk (ShinyHunters Breach Explained) 作者: Tech Logic Lounge 日期: (來源中未提供確切日期,僅為音訊檔內容) 來源: YouTube 頻道 “Tech Logic Lounge” 的影片轉錄稿
Google suffers data breach in ongoing Salesforce data theft attacks 作者: Lawrence Abrams 日期: August 6, 2025 來源: BleepingComputer
Google to Discontinue Gmailify and POP Support in January 2026 for Security Upgrades 作者: Ava Callegari 日期: October 4, 2025 來源: WebProNews
Urgent alert issued to anyone who uses Gmail after 183 million passwords are leaked 作者: Andrew Griffin 日期: Monday 27 October 2025 來源: The Independent
你的 Gmail 也被入侵了嗎?分辨釣魚信件的 5 大技巧! 作者: NPOst 編輯室、林雨蒼 日期: 2017 年 07 月 31 日 來源: NPOst 公益交流站
駭客愛用的5大Gmail詐騙釣魚郵件類型,九成五以上使用惡意網站連結手法 作者: 趨勢科技 TrendMicro 日期: 2017 年 05 月 25 日 來源: 資安趨勢部落格
舊式密碼不再安全!Google 籲用戶升級帳號、改通行金鑰防詐 作者: 林 妤柔 日期: 2025/06/13 來源: 科技新報 (經濟日報授權轉載)
外傳有1.83億信箱名單外洩 Google滅火:沒「新一波Gmail攻擊」 作者: 周刊王CTWANT 日期: 2025-10-28 來源: PChome Online 新聞
帳號被盜怎麼辦?預防措施與應對步驟完整指南解析 日期: 2024 年 7 月 8 日 來源: 嵐海智能
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift 作者: Austin Larsen, Matt Lin, Tyler McLellan, Omar ElAhdan (Google Threat Intelligence Group / Mandiant) 日期: August 26, 2025 來源: Google Cloud Blog
保護遭到入侵或盜用的 Google 帳戶 作者: Google 帳戶說明 來源: Google 帳戶說明中心
電子郵件社交工程攻擊與防範 作者: 鄭皓仁 日來源: 財團法人中華民國國家資訊基本建設產業發展協進會
密碼安全性原則,困擾的是駭客還是自己 作者: 陳彥銘 日期:106 年 11 月號 (月刊轉載) 來源: (內容標示轉載自「自清流雙月刊」)
💬 聲明稿 (Disclaimer)
本頻道所有內容均為我的個人觀點與分析,不代表我現任或曾任職公司的立場。所有資訊均來自公開管道,不涉及任何內部或機密資訊。 (Disclaimer: The views and opinions expressed on this channel are my own and do not represent those of my employer. All information is based on publicly available sources.)
Hastag
#科技前緣 #Google #Gmail #資訊安全 #資安警訊 #ShinyHunters #數據外洩 #Passkey #通行密鑰 #網路釣魚 #社交工程 #雙重驗證 #TechNews #CyberSecurity
--
Hosting provided by
SoundOn
