一位讀者剛剛向我們回報了一種極具欺騙性的新型釣魚詐騙,我們認為有必要立即發布警告,以免更多人受害。這種手法的惡劣之處在於,它利用了 Google 自己的服務 sites.google.com 來建立一個幾可亂真的假冒登入頁面,企圖竊取您的帳號密碼。
詐騙手法拆解:為何它如此危險?
讀者遇到的詐騙網址是 https://sites.google.com/view/ads-gooogle-gings。
第一眼看過去,你可能會覺得安心,因為:
- 合法的 Google 網域:網址開頭是
sites.google.com,這確實是 Google 提供的免費網站服務,瀏覽器也會顯示安全的鎖頭圖示。 - HTTPS 加密:因為是 Google 的服務,所以網站有合法的 SSL 憑證。
- 透過 Google Ads 廣告推播:更惡劣的是,這些詐騙網站有時會透過 Google Ads 購買廣告,讓它們出現在搜尋結果的頂部。使用者在搜尋特定服務時,很容易因為信任 Google 的廣告而點擊,從而進入陷阱。
但魔鬼就藏在細節裡。詐騙集團利用 Google Sites 的便利性,複製了一個與 Google 官方登入頁面一模一樣的網站。當您在上面輸入帳號密碼時,這些資料並不是傳送給 Google,而是直接傳送到了詐騙集團的伺服器。
如何識別這種釣魚網站?五個關鍵步驟
請記住以下五個檢查步驟,這能幫助您在幾秒鐘內識破騙局:
1. 仔細檢查「完整」網址
這是最重要的一步。雖然主域名是 google.com,但要看清楚「完整」的路徑。
- 錯誤示範:
sites.google.com/view/ads-gooogle-gings - 正確的 Google 登入頁:網址會是
accounts.google.com開頭,後面跟著一長串驗證碼,但「絕對不會」包含/view/或其他奇怪的單字。
關鍵技巧:看到網址中段有 sites.google.com/view/,就要立刻提高警覺。這代表你正在瀏覽的是一個「使用者自訂」的頁面,而不是 Google 的官方功能頁面。
2. 尋找拼寫錯誤
詐騙集團經常使用與官方名稱極為相似的拼寫來混淆視聽。在這個案例中,他們用了 gooogle(三個o)這個錯誤拼寫。任何時候在網址或頁面內容中看到這種微小的拼寫錯誤,都應該立即關閉網頁。
3. 檢查您的個人大頭貼
當您在真正的 Google 登入頁面輸入您的電子郵件地址後,頁面通常會顯示您的個人大頭貼。這是一個個人化的安全提示。
- 正確情況:輸入帳號後,您會看到自己設定的那個獨特大頭貼。
- 可疑情況:釣魚網站通常無法取得您的個人大頭貼,所以頁面上可能只會顯示一個預設的灰色人像圖示,或者根本沒有任何圖片。
行動建議:為您的 Google 帳戶設定一個獨特、好辨認的大頭貼。這不僅能個人化您的帳戶,也能成為一個快速識別假冒網站的有效方法。
4. 密碼管理員是否自動填入?
如果您使用密碼管理員(例如 1Password, Bitwarden, 或瀏覽器內建的密碼管理器),它們通常會根據儲存的「確切網址」來自動填入密碼。
當您到達一個釣魚網站時,由於網址不符(例如 sites.google.com vs accounts.google.com),密碼管理員「不會」自動填入您的帳號密碼。這是一個非常強烈的危險信號。
5. 啟用兩步驟驗證 (2FA)
這是保護您帳號的最後一道、也是最強大的一道防線。即使詐騙集團不幸獲取了您的密碼,如果沒有您手機上的驗證碼或實體安全金鑰,他們依然無法登入您的帳戶。
立即行動:現在就前往 Google 帳戶安全性頁面 檢查並啟用「兩步驟驗證」。
如果我不幸輸入了密碼該怎麼辦?
如果您意識到自己可能已經在釣魚網站上輸入了資料,請立即採取以下措施:
- 立刻變更密碼:立即前往官方的
google.com網站,更改您的 Google 帳戶密碼。 - 檢查帳戶活動:在您的 Google 帳戶安全性設定中,檢查「最近的安全性活動」,看看是否有任何可疑的登入或裝置。
- 登出所有裝置:在安全性設定中,找到「您的裝置」選項,並將所有您不認識或目前不在使用的裝置全部登出。
- 回報釣魚網站:您可以透過 Google 的安全瀏覽回報頁面 將詐騙網址提交上去,幫助保護其他人。
結論
網路詐騙手法不斷在演進,從過去充滿拼寫錯誤的粗糙頁面,到現在利用合法服務製作的精緻網站。保持警覺、仔細檢查網址,並啟用兩步驟驗證,是保護我們數位生活的不二法門。請將這篇文章分享給您的親朋好友,多一份提醒,就少一位受害者。
