社交工程 (網路詐騙和詐欺網站)

社交工程是指誘騙訪客從事危險行為,例如提供機密資訊或下載軟體。如果 Google 偵測到您的網站含有社交工程內容,當訪客要在 Chrome 瀏覽器中瀏覽您的網站時,可能會看到「您即將前往詐欺網站」警告訊息。透過瀏覽「安全性問題」報告,可查看您網站上的頁面是否含有疑似社交工程攻擊內容。

開啟安全性問題報告

總覽

什麼是社交工程?

如果網路使用者因受騙而在線上從事危險行為,就是遭到所謂的「社交工程攻擊」。

社交工程攻擊可區分不同類型。網路詐騙網站會誘騙使用者提供個人資訊 (例如密碼、電話號碼或信用卡資訊),詐欺內容 (例如謊稱裝置軟體過舊的廣告) 則會誘騙使用者安裝垃圾軟體。

出現以下情況就表示發生了社交工程攻擊:

  • 相關內容仿效可信實體 (例如瀏覽器、作業系統、銀行或政府) 的行為和外觀。
  • 相關內容試圖誘騙您從事只會對可信實體做出的行為,例如分享密碼、撥打電話給技術支援小組或下載軟體。

Google 安全瀏覽服務會在使用者要瀏覽詐欺內容之前發出警告,防止網路使用者遭到社交工程攻擊。如要進一步瞭解社交工程及查看相關實例,請參閱這裡的說明

社交工程與網路詐騙有何不同? 網路詐騙只是其中一種社交工程攻擊類型。

最佳做法:如果您需要第三方為您的網站提供基本支援服務,最佳做法是運用該服務的業界標準第三方。舉例來說,如要管理您網站上的使用者驗證方式,則應使用 OAuth,而不是自行管理驗證方式。

內嵌內容中的社交工程

社交工程也可能出現在良性本質網站的內嵌內容中,通常是廣告。含有內嵌式社交工程內容的網頁同樣違反了我們的政策。

有時,使用者會這這類網頁上看到內嵌的社交工程內容 (如下方的示例所示)。在其他情況下,這類網站不會顯示任何廣告,但會透過彈出式視窗、背後彈出式視窗或其他類型的重新導向方式將使用者導向社交工程網頁。無論是哪一種情況,這類含有內嵌式社交工程內容的網頁都違反了我們的政策。

我沒有從事社交工程行為!

嵌入網頁中的各種資源,例如圖片、其他第三方元件或廣告;都可能含有詐欺性的社交工程內容。這類詐欺內容會誘騙網站訪客下載垃圾軟體

如果使用者要瀏覽的發佈商網頁經常顯示社交工程廣告,Google 安全瀏覽服務會發出警告,防止網路使用者接觸到詐欺內容。如要瞭解詳情及查看相關實例,請參閱這裡的說明

此外,駭客可能會控制正常的網站,用於代管或散佈社交工程內容。駭客可能會變更網站內容,或是在網站上植入額外的網頁,這類行為的目的通常是誘騙訪客提供個人資訊,例如信用卡號碼。您可以前往 Search Console 查看「安全性問題」報告,從中確認您的網站是否被認定為代管或散佈社交工程內容的網站。

如果您認為自己的網站遭到駭客入侵,請參閱我們遭入侵網站協助說明

社交工程違規示例

第三方服務

「第三方服務」是指某方代替另一個實體經營網站或服務。如果您 (第三方) 代替另一方 (第一方) 經營網站,但未清楚表明您與對方之間的關係,該網站就可能被標示為具有社交工程問題。

舉例來說,假設有一個捐贈管理網站 (第三方) 負責處理慈善機構 (第一方) 的募款,但是該網站未聲明代表特定慈善機構,就可能遭認定有社交工程問題。

如要避免網站被標示有社交工程問題,請確認符合下列條件:

  • 在第三方網站的每個網頁上,清楚列出第三方品牌標示,確保使用者知道是誰在經營網站;例如在網頁頂端顯示第三方品牌。
  • 在每個含有第一方品牌標示的網頁上,明確指出第一方和第三方的關係,並提供包含更多資訊的連結;例如加入類似下方的聲明:
          本服務是由 Example.com 代表 Example.charities.com 提供。更多資訊

為了確保網站擁有良好可用性,原則上要做到無論使用者單獨查看哪一個網頁,都能知道該網頁屬於哪一個網站,以及第一方和第三方之間的關係。

網頁示例

如有以下行為,即屬於社交工程網頁:

  • 仿效可信實體單位 (例如您自己的裝置/瀏覽器或網站本身) 的行為和外觀。
  • 試圖誘騙您從事一些您只會對可信實體做出的行為,例如分享密碼、撥打電話給技術支援小組或下載軟體。

以下列舉一些從事社交工程行為的網頁示例:

Social engineering popup that tries to make the user install an unwanted application.
意圖誘騙使用者安裝惡意軟體的不實彈出式視窗。
Example of social engineering attempt claiming a browser update is required
不實彈出式視窗,謊稱協助使用者更新瀏覽器。

內嵌內容示例

以下列舉一些嵌入廣告中的不實內容示例。這些廣告會融入網頁介面,而不會顯示為獨立的廣告。

Deceptive ad claiming to be a media player update on the page.
不實彈出式視窗,謊稱使用者的軟體版本過舊。
Deceptive ad claiming to be an installer for a required component.
不實彈出式視窗,謊稱其由 FLV 開發人員所提供。
Deceptive ads claiming to be playback controller buttons on the host page.
實為廣告,但偽裝成網頁動作按鈕。

修正相關問題

如果有人檢舉您的網站含有社交工程內容,請確定您的網頁並未從事任何以上示例所述的行為,然後按照下列步驟操作:

  1. 使用 Search Console 進行檢查
    • 前往 Search Console 驗證您的網站擁有權,確認沒有多出可疑的新擁有者。
    • 查看「安全性問題」報告,瞭解您的網站是否被列為從事社交工程行為的網站。建議您造訪報告中列出的一些範例網址,但不要使用您的網站伺服器所在網路中的電腦 (當聰明的駭客認為訪客是網站管理員時,可能會暫停攻擊行為)。
  2. 移除詐欺內容。確定您網站上的網頁完全沒有詐欺內容
  3. 如果您發現嵌入的內容 (例如廣告) 中有社交工程行為,請確定您網站上網頁的廣告、圖片或其他嵌入的第三方資源全部為非詐欺內容。請注意,廣告聯播網可能會在您網站上的網頁中以輪播形式顯示眾多廣告。因此,您可能需要重新整理網頁幾次,才能確定有沒有出現任何社交工程廣告。部分廣告在行動裝置和電腦上的顯示型態可能不同。您可以使用 Google 模擬器工具,分別以行動版和電腦版檢視模式瀏覽您的網站。
  4. 檢查您網站上的第三方資源。確定您網站上網頁中的廣告、圖片或其他嵌入的第三方資源全都不是詐欺內容。
    • 請注意,廣告聯播網可能會在您網站上的網頁中以輪播形式顯示眾多廣告。因此,您可能需要重新整理網頁幾次,才能確定有沒有出現任何社交工程廣告。
    • 部分廣告在行動裝置和電腦上的顯示型態可能不同。您可以使用 Google 模擬器工具,分別以行動版和電腦版檢視模式瀏覽您的網站。
  5. 要求審查。將網站上的社交工程內容全部移除後,您可以在「安全性問題」報告中提出安全性審查要求。審查程序可能需要 2 至 3 天才能完成。
這篇文章實用嗎?
我們應如何改進呢?