社交工程 (網路詐騙和詐欺網站)

社交工程是指誘騙訪客從事危險行為,例如提供機密資訊或下載軟體。如果 Google 偵測到您的網站含有社交工程內容,當訪客要在 Chrome 瀏覽器中瀏覽您的網站時,可能會看到「您即將前往詐欺網站」警告訊息。透過瀏覽「安全性問題」報告,可查看您網站上的頁面是否含有疑似社交工程攻擊內容。

開啟安全性問題報告

總覽

什麼是社交工程?

如果網路使用者因受騙而在線上從事危險行為,就是遭到所謂的「社交工程攻擊」。

社交工程攻擊分為不同類型:

  • 網路詐騙這類網站會誘騙使用者提供個人資訊 (例如密碼、電話號碼或信用卡資訊)。這種類型的網站內容仿效可信實體 (例如瀏覽器、作業系統、銀行或政府) 的行為或外觀和風格。
  • 不實內容:相關內容試圖誘騙您從事只會對可信實體做出的行為,例如透漏密碼、撥打電話給技術支援小組、下載軟體;這類網站內容也可能含有廣告,其中內容謊稱裝置的軟體過舊,並提示使用者下載垃圾軟體。
  • 標示不明的第三方服務:「第三方服務」是指某方代替另一個實體經營網站或服務。如果您 (第三方) 代替另一方 (第一方) 經營網站,但未清楚表明您與對方之間的關係,該網站就可能被標示為具有社交工程問題。舉例來說,如果您 (第一方) 經營慈善網站,並透過捐款管理網站 (第三方) 處理您網站的募款金額事宜,則捐款網站必須清楚標明自己為第三方平台,僅代表慈善網站執行相關事宜,否則捐款網站可能被認定為有社交工程問題。

如果網頁經常從事社交工程行為,Google 安全瀏覽服務會在使用者造訪該頁面前發出警告,以保護使用者。

如有以下行為,即屬於社交工程網頁:

  • 仿效可信實體單位 (例如您自己的裝置/瀏覽器或網站本身) 的行為和外觀。
  • 試圖誘騙您從事一些只會對可信實體做出的行為,例如透露密碼、撥打電話給技術支援小組或下載軟體。

內嵌內容中的社交工程

社交工程也可能出現在良性本質網站的內嵌內容中,通常是廣告。含有內嵌式社交工程內容的網頁同樣違反了我們的政策。

有時,使用者會這這類網頁上看到內嵌的社交工程內容 (如下方的示例所示)。在其他情況下,這類網站不會顯示任何廣告,但會透過彈出式視窗、背後彈出式視窗或其他類型的重新導向方式將使用者導向社交工程網頁。無論是哪一種情況,這類含有內嵌式社交工程內容的網頁都違反了我們的政策。

我沒有從事社交工程行為!

嵌入網頁中的各種資源,例如圖片、其他第三方元件或廣告;都可能含有詐欺性的社交工程內容。這類不實內容會誘騙網站訪客下載垃圾軟體

此外,駭客可能會控制正常的網站,用於代管或散佈社交工程內容。駭客可能會變更網站內容,或是在網站上植入額外的網頁,這類行為的目的通常是誘騙訪客提供個人資訊,例如信用卡號碼。您可以前往 Search Console 查看「安全性問題」報告,從中確認您的網站是否被認定為代管或散佈社交工程內容的網站。

如果您認為自己的網站遭到駭客入侵,請參閱我們遭入侵網站協助說明

社交工程違規示例

不實內容示例

以下列舉一些從事社交工程行為的網頁示例:

Social engineering popup that tries to make the user install an unwanted application.
意圖誘騙使用者安裝惡意軟體的不實彈出式視窗。
Example of social engineering attempt claiming a browser update is required
不實彈出式視窗,謊稱協助使用者更新瀏覽器。
偽造的 Google 登入頁面。請注意圖片中的網址並非真正的 Google 登入頁面網址。其他類似的詐騙網站也可能誘騙您洩漏個人資訊 (例如信用卡資訊)。詐騙網站的外觀可能會與真正的網站非常相似,因此請務必查看網址列,確認網址正確無誤,並檢查網站網址開頭是否為 https://。

不實廣告示例

以下列舉一些內嵌廣告中的不實內容示例。這些廣告會融入網頁介面,而不會顯示為獨立的廣告。

Deceptive ad claiming to be a media player update on the page.
不實彈出式視窗,謊稱使用者的軟體版本過舊。
Deceptive ad claiming to be an installer for a required component.
不實彈出式視窗,謊稱其由 FLV 開發人員所提供。
Deceptive ads claiming to be playback controller buttons on the host page.
實為廣告,但偽裝成網頁動作按鈕。

修正相關問題

如果有人檢舉您的網站含有社交工程內容 (不實內容),請確認您的網頁並未從事任何上述行為,然後依照下列步驟操作:

  1. 使用 Search Console 進行檢查
    • 前往 Search Console 驗證您的網站擁有權,確認沒有多出可疑的新擁有者。
    • 查看「安全性問題」報告,瞭解您的網站是否被列為含有「不實內容」(這是報告中對於社交工程使用的詞彙)。建議您造訪報告中列出的一些示例網址,但不要使用與您的網站伺服器相同網路的電腦 (當聰明的駭客認為訪客是網站管理員時,可能會暫停攻擊行為)。
  2. 移除不實內容。確定您網站上的網頁完全沒有不實內容。如果您認為 Google 安全瀏覽服務對網頁的歸類有誤,可在這裡回報問題。
  3. 檢查您網站上的第三方資源。確定您網站網頁中的廣告、圖片或其他內嵌的第三方資源全都不是不實內容。
    • 請注意,廣告聯播網可能會在您網站上的網頁中以輪播形式顯示眾多廣告。因此,您可能需要重新整理網頁幾次,才能確定有沒有出現任何社交工程廣告。
    • 部分廣告在行動裝置和電腦上的顯示型態可能不同。您可以使用網址檢查工具,分別以行動版和電腦版檢視模式瀏覽您的網站。
    • 針對網站使用的所有第三方服務 (例如付款服務),檢查是否符合下方所述的第三方服務規範。
  4. 要求審查。將網站上的社交工程內容全部移除後,您可以在「安全性問題」報告中提出安全性審查要求。審查程序可能需要數天才能完成。

第三方服務規範

如果您的網站含有第三方服務,網站必須符合下列條件才能避免被標示為從事社交工程行為:

  • 在第三方網站的每個網頁上,清楚列出第三方品牌標示,確保使用者知道是誰在經營網站;例如在網頁頂端顯示第三方品牌。
  • 在每個含有第一方品牌標示的網頁上,明確指出第一方和第三方的關係,並提供包含更多資訊的連結;例如加入類似下方的聲明:

      本服務是由 Example.com 代表 Example.charities.com 提供。更多資訊

為了確保網站擁有良好可用性,原則上要做到無論使用者單獨查看哪一個網頁,都能知道該網頁屬於哪一個網站,以及第一方和第三方之間的關係。

最佳做法:如果您需要第三方為您的網站提供基本支援服務,最佳做法是運用該服務的業界標準第三方。舉例來說,如要管理您網站上的使用者驗證方式,則應使用 OAuth,而不是自行管理驗證方式。
這篇文章實用嗎?
我們應如何改進呢?