找出遭盜用的帳戶並採取安全保護措施

如果管理員認為某個帳戶可能遭到入侵,可以使用這份檢查清單,確保使用者的帳戶 (例如遭到入侵/盜用的帳戶) 安全無虞。請與受影響的使用者合作,完成使用者 Gmail 安全性檢查清單

請按照下列安全性步驟操作

步驟 1:將遭到入侵的帳戶暫時停權
  1. 將使用者停權,防範未經授權的存取行為。

    注意:您將使用者停權後,系統會重設對方的登入 Cookie 和 OAuth 憑證。

  2. 調查疑似未經授權的存取活動並還原帳戶。建議您同時為網域註冊兩步驟驗證 (2SV)。
  3. 請受影響的使用者檢查自己的備援地址,並完成 Gmail 安全性檢查清單
步驟 2:調查帳戶中未經授權的存取活動
  1. 如果遭到入侵的使用者帳戶屬於 G Suite 管理員,請檢閱管理員稽核紀錄,查看該使用者最近是否修改了任何設定。如果上述做法不適用,請略過這個步驟。
  2. 檢查與受影響帳戶相關聯的行動裝置,並清除所有可疑裝置。
  3. 調查疑似未經授權的存取活動:
    1. 使用管理控制台的登入稽核紀錄,檢視使用者在過去 6 個月內透過網頁登入您網域 (無論成功或失敗) 的完整紀錄清單。可疑的登入活動會標記警告圖示。您也可以透過 G Suite Reports API 擷取網域帳戶的登入資訊。
    2. 使用電子郵件紀錄搜尋功能查看網域的郵件傳送紀錄,以及評估來自/寄給可能遭入侵帳戶的郵件。如果該帳戶是由保管箱管理,您就可以使用電子郵件紀錄搜尋功能查看電子郵件活動。
      注意:如果使用者升級至具有保管箱功能的 G Suite Business 或 G Suite Enterprise,就可以還原遭到永久刪除的電子郵件或文件。
    3. 使用安全性報告評估網域的資料安全性風險。建議您查看下列報表:
    4. 確認是否出現任何惡意設定。您可以透過 Gmail API 擷取使用者帳戶設定 (例如轉寄設定)。如果您認為某位使用者的 <使用者名稱>@gmail.com 帳戶遭人用於入侵行為,請向我們檢舉
步驟 3:撤銷受影響帳戶的存取權
  1. 按照重設使用者密碼中的步驟進行。
  2. 撤銷使用者的 OAuth 2.0 憑證
  3. 重設使用者密碼後,部分使用 OAuth 2.0 驗證方法的應用程式就會停止存取資料。使用者必須使用自己的帳戶名稱和新密碼登入,才能接收新的 OAuth 2.0 憑證。
  4. 移除使用者建立的應用程式密碼
步驟 4:將存取權重新授與使用者
  1. 將帳戶取消停權
  2. 將最新的臨時密碼告知使用者,並請使用者重新設定一組專屬密碼 (不要將這組密碼用於任何其他網站或應用程式)。
  3. 為網域啟用兩步驟驗證,並透過 U2F 安全金鑰 (不建議採用兩步驟驗證碼) 為使用者進行註冊。
  4. 與使用者合作完成使用者 Gmail 安全性檢查清單,例如確認所有使用者的篩選器轉寄選項設定正確。
    1. 更新帳戶救援選項。
    2. 檢查是否有異常的帳戶活動。
    3. 檢查是否有遺失或可疑郵件。
    4. 檢查您的聯絡人是否錯誤。
    5. 檢查您的 Gmail 設定。

執行其他安全性步驟

建議您額外執行這些步驟,進一步確認使用者的 G Suite 帳戶安全性。

步驟 1:使用安全金鑰註冊兩步驟驗證

註冊兩步驟驗證功能的做法可為使用者的 G Suite 帳戶安全提供多一層保護。使用者登入帳戶時,除了輸入自己的使用者名稱和密碼以外,必須額外提供驗證碼。詳情請參閱新增兩步驟驗證功能。建議您使用安全金鑰取代兩步驟驗證安全碼,可針對網路詐騙提供更好的防護措施。

步驟 2:新增、保護或更新救援選項

如需新增次要電子郵件地址和電話號碼的操作說明,請參閱新增管理員帳戶救援選項。建議您變更密碼,或是更換新的次要電子郵件地址,以確保次要電子郵件地址安全無虞。

步驟 3:啟用帳戶活動快訊

管理員可以選擇接收重要事件的帳戶活動快訊,一旦出現可疑的登入行為,或是服務設定遭到其他管理員變更等等,您都能收到系統發出的通知。

請參閱 Google 的安全中心,瞭解維護帳戶安全的一般建議事項。

這對您有幫助嗎?
我們應如何改進呢?