社交工程(网上诱骗网站和欺骗性网站)

社交工程是指会诱使访问者执行某些危险操作的内容,例如诱使访问者透露机密信息或下载软件。如果 Google 检测到您的网站包含社交工程内容,Chrome 浏览器便可能会在访问者浏览您的网站时显示“您要访问的网站是欺骗性网站”警告。您可以通过“安全问题”报告来查看自己的网站上是否有网页涉嫌包含社交工程攻击。

打开“安全问题”报告

概览

什么是社交工程?

社交工程攻击是指诱使网络用户在线执行某些危险操作。

社交工程攻击有多种类型:

  • 网上诱骗这类网站会诱使用户透露个人信息(例如密码、电话号码或信用卡信息)。这类网站的内容会效仿可信实体(例如浏览器、操作系统、银行或政府机构)的行为或外观。
  • 欺骗性内容这类内容会试图诱使您做出一些您只会对可信实体做出的事情(例如透露密码、致电技术支持部门或下载软件);也可能会含有谎称设备软件不是最新版本的广告,并提示用户安装垃圾软件。
  • 标识不明的第三方服务第三方服务是代表其他实体运营网站或服务的提供商。如果您(第三方)代表其他方(第一方)运营网站,而未明确说明双方关系,则这种行为可能会被标记为社交工程。例如,如果您(第一方)运营的慈善机构网站通过某捐赠管理网站(第三方)来处理您网站的募捐事宜,那么该捐赠网站必须明确说明它是代表相应慈善机构网站的第三方平台,否则可能会被视为社交工程。

如果网页经常会实施社交工程做法,那么 Google 安全浏览功能会在网络用户访问这类网页之前发出警告,以免他们遭到攻击。

在下列任一情况下,相关网页都会被视为社交工程内容:

  • 效仿可信实体(例如,您自己的设备/浏览器或网站本身)的行为或外观。
  • 企图诱使您做出一些您只会对可信实体做出的事情,例如透露密码、致电技术支持部门或下载软件。

内嵌内容中的社交工程

社交工程也可能会出现于在其他方面均无害的网站的内嵌内容中(通常会在广告中显示)。内嵌式社交工程内容违反了托管页面的相关政策。

有时,内嵌式社交工程内容会显示在托管页面上,详见以下示例。在另一些情况下,托管网站虽然不会直接显示广告,但会通过弹出式窗口、背后弹出式窗口或其他类型的重定向将用户转到社交工程页面。在这两种情形下,此类内嵌式社交工程内容都会导致违反托管页面的相关政策。

但我没有参与社交工程!

黑客可能会通过嵌入到网页中的资源(例如图片、其他第三方组件,或广告)植入欺骗性社交工程内容。此类欺骗性内容可能会诱使网站访问者下载垃圾软件

此外,黑客可能会窃取对正常网站的控制权,以利用这些网站托管或传播社交工程内容。黑客还可能会更改网站内容或向网站添加其他网页,目的通常是诱使访问者透露个人信息(例如信用卡号码)。通过查看 Search Console 中的“安全问题”报告,您可以了解自己的网站是否已被认定为托管或传播社交工程内容的网站。

如果您认为自己的网站遭到了黑客攻击,请参见我们的网站遭到入侵的相关帮助

违规的社交工程内容示例

欺骗性内容示例

以下是一些实施了社交工程做法的网页的示例:

Social engineering popup that tries to make the user install an unwanted application.
带有欺骗性弹出式窗口,企图诱使用户安装恶意软件。
Example of social engineering attempt claiming a browser update is required
带有欺骗性弹出式窗口,声称能帮助用户更新浏览器。
假冒 Google 登录页面。请注意防范欺骗性网址。与此类似的其他网上诱骗网站可能会诱使您透露其他个人信息,例如信用卡信息。网上诱骗网站可能看起来与真实网站无异,因此请务必查看地址栏中的网址是否正确无误,并查看网站的网址是否以 https:// 开头

欺骗性广告示例

以下是一些嵌入式广告中的欺骗性内容的示例。这些广告看似是网页的部分内容,并不像是广告。

Deceptive ad claiming to be a media player update on the page.
带有欺骗性弹出式窗口,声称用户的软件已过期。
Deceptive ad claiming to be an installer for a required component.
带有欺骗性弹出式窗口,声称来自 FLV 开发者。
Deceptive ads claiming to be playback controller buttons on the host page.
广告伪装成页面操作按钮。

解决问题

如果您的网站被标记为含有社交工程内容(欺骗性内容),请确保相关网页未实施上述任何做法,然后执行以下步骤:

  1. 使用 Search Console 进行检查
    • 在 Search Console 中验证您对自己网站的所有权,并确认没有多出任何新的可疑所有者。
    • 查看“安全问题”报告,看看您的网站是否被列为包含欺骗性内容的网站(这是用于报告社交工程的术语)。访问该报告中列出的一些被标记的示例网址,请不要使用您网站的服务器所在网络内的计算机(如果狡猾的黑客认为访问者是网站站长的话,他们可能会暂停其攻击行为)。
  2. 移除欺骗性内容。确保您网站的所有网页都不包含欺骗性内容。如果您认为安全浏览功能对某个网页的分类有误,请点击此处报告该问题。
  3. 检查您的网站中包含的第三方资源。确保您网站的网页上没有任何欺骗性广告、图片或其他嵌入式第三方资源。
    • 请注意,广告联盟可能会轮播在您网站的网页上展示的广告。因此,您可能需要刷新几次网页,然后才能确定有没有社交工程广告。
    • 某些广告在移动设备和桌面设备上可能会以不同的方式展示。您可以使用网址检查工具在移动设备视图和桌面设备视图中查看您的网站。
    • 针对您在网站中使用的所有第三方服务(例如付款服务),检查是否遵循了下述第三方服务指南。
  4. 提交审核请求。从您的网站中移除所有社交工程内容后,您可以在“安全问题”报告中提交安全审核请求。审核过程可能需要几天的时间才能完成。

第三方服务指南

如果您的网站含有第三方服务,该网站必须满足以下条件才能避免被标记为社交工程:

  • 在每个页面上,第三方网站都应明确包含第三方品牌,确保用户了解网站的运营者是谁。例如,将第三方品牌添加到页面顶部。
  • 在包含第一方品牌信息的每个页面上,明确说明第一方和第三方之间的关系,并提供详情链接。例如以下所示的声明:

     此服务由 Example.com 代表 Example.charities.com 进行托管。更多信息

为了确保网站具有良好的易用性,原则上要做到:无论用户单独浏览哪个网页,都能知道该网页属于哪个网站以及第一方与第三方之间的关系。

最佳做法:如果您需要第三方为您的网站提供基本的支持服务,最佳做法是聘用符合业界标准的第三方。例如,要管理您网站上的用户身份验证,您应该使用 OAuth,而不是自行管理身份验证。
该内容对您有帮助吗?
您有什么改进建议?