识别和保护被盗用的帐号

作为管理员,如果您怀疑某个帐号可能被盗用,请使用此安全核查清单来确保用户帐号(如被盗用或入侵的帐号)的安全。请与受影响的用户合作,共同按照最终用户 Gmail 安全核查清单完成检查。

请按照以下安全步骤操作:

第 1 步:暂时停用怀疑被盗用的用户帐号
  1. 暂停用户以阻止未经授权的访问。

    注意:暂停用户会重置用户的登录 Cookie 和 OAuth 令牌。

  2. 调查可能未经授权的活动并恢复帐号。您也可以考虑为网域注册两步验证 (2SV)。
  3. 让受影响的用户查看其恢复地址,然后按照 Gmail 安全核查清单完成检查。
第 2 步:调查帐号是否存在未经授权的活动
  1. 如果帐号遭到盗用的用户是 G Suite 管理员,请查看“管理员审核日志”,了解相应用户最近是否更改了任何配置。如果情况不适用,则跳过此步骤。
  2. 查看与受影响帐号相关的移动设备并擦除任何可疑设备。
  3. 调查可能未经授权的活动:
    1. 使用管理控制台中的登录审核日志查看您网域中过去 6 个月内成功和失败的网络登录活动的完整列表。对于可疑的登录活动,系统会使用警告图标进行标识。您也可以通过 G Suite Reports API 检索网域中各帐号的登录信息。
    2. 使用电子邮件日志搜索功能查看网域的递送日志,并评估与可能已被盗用的帐号来往的邮件。如果帐号由保险柜管理,您可以使用电子邮件日志搜索功能查看电子邮件活动。
      注意:如果您的用户将服务升级到带有保险柜的 G Suite 商务版或 G Suite 企业版,他们将能恢复被永久删除的电子邮件或文档。
    3. 使用安全报告评估网域面临的数据安全风险。您应该查看这些报告:
    4. 验证攻击者是否进行了恶意设置。您可以通过 Gmail API 检索用户帐号设置(例如转发设置)。如果您怀疑某个 <普通用户>@gmail.com 帐号被用于入侵行为,请向我们举报
第 3 步:撤消受影响帐号的访问权限
  1. 按照重置用户密码中的步骤操作。
  2. 为用户撤消 OAuth 2.0 令牌
  3. 在您重置用户密码后,某些使用 OAuth 2.0 身份验证方法的应用会停止访问数据。用户必须使用其帐号名和新密码登录以接收新的 OAuth 2.0 令牌。
  4. 移除用户创建过的应用专用密码
第 4 步:将访问权限重新返还给用户
  1. 取消暂停帐号。
  2. 将新的临时密码告知用户,并让用户设置新的唯一密码(即未在其他任何网站或应用中使用过的密码)。
  3. 为网域启用两步验证,并使用 U2F 安全密钥(不建议使用两步验证码)注册用户。
  4. 与用户合作,共同按照最终用户 Gmail 安全核查清单完成检查。例如,确保您所有最终用户的过滤器转发选项配置正确。
    1. 更新您的帐号恢复选项。
    2. 检查您的帐号是否有异常活动。
    3. 检查是否有丢失或可疑邮件。
    4. 检查您的联系人是否错误。
    5. 检查 Gmail 设置。

执行补充安全步骤

我们建议您执行补充步骤以确保您用户的 G Suite 帐号的安全性。

第 1 步:使用安全密钥注册两步验证

两步验证为您用户的 G Suite 帐号增加了一道额外的安全保障。用户在登录帐号时不仅要输入自己的用户名和密码,还要输入验证码。有关详情,请参阅添加两步验证。我们建议使用安全密钥而不是两步验证安全代码,以更好地规避网上诱骗。

第 2 步:添加、保障或更新恢复选项

请参阅为管理员帐号添加恢复选项,获取关于添加辅助电子邮件地址和电话号码的说明。我们建议更改密码以保障这些辅助电子邮件地址的安全,也可将辅助电子邮件地址更新为新地址。

第 3 步:启用帐号活动提醒

作为管理员,您可以选择在发生重要活动(例如,出现潜在的可疑登录或其他管理员更改了服务设置)时接收帐号活动提醒。

请访问 Google 安全中心,获取关于保障帐号安全的一般性建议。

该内容对您有帮助吗?
您有什么改进建议?