使用 Blogger 超過十年,上禮拜發生有史以來最嚴重事件,整個平台所有網站都被牽連:
- 當天早上所有 Blogger 網站都被判定為「詐騙網站」,前、後台都無法進入
- 部分網站不斷收到郵件通知,表示文章內容違反 Blogger 政策,因而被自動刪除
- 「前、後台都無法進入」的狀況大約 1 小時左右,全部網站恢復正常
- 「所有被自動刪除的文章」大約 12 小時後全部救回,且文章網址沒有異動,不影響 SEO
一、為何 Blogger 文章被大量刪除
1. 事件記錄 對多數 Blogger 站長而言,此次可說只是虛驚一場,但對少數站長而言就是心驚動魄了。因為大量文章被刪除,多年心血也不知能否救回,若平日還沒有備份的習慣,上禮拜那天將會很不好過。
手上經營的 Blogger 網站起碼有十多個,其中一個遭到文章被刪,從我這個小樣本推估也許全球有 1/10 ~ 1/20 的網站遭波及(當然也許沒那麼糟)。我在 FB 社團做了「事件記錄」,以下簡單摘要:
- 收到郵件通知,不斷告知我的XX文章因違反Blogger政策「惡意軟體和病毒」而遭到刪除。
- 接著前後台開始無法進入,出現「你要瀏覽的是詐騙網站」字樣
- 根據「Blogger 官方論壇」的回報,全世界發生的時間都差不多,有大量使用者受害
- 這代表 Google 一度偵測到有大量 Blogger 網站,網頁內容含有「惡意軟體和病毒」,故而啟動自動防護機制,將所有 Blogger 平台網站顯示警告字樣,避免訪客進入受到詐騙、釣魚內容的傷害
- 假設全球有 1/20 Blogger 站長帳號同時被駭、且同時發動攻擊 → 這個數量及難度實在大高也太誇張,可能性趨近零
- 假設某個 Blogger 官方擁有高權限的工程師帳號被駭,駭客取得他的權限後就可操作 Blogger API 修改所有使用者的文章,植入惡意程式碼 → 這發生的可能性相對較高
- 假設後者為真,駭客也知道相關動作很快就會被察覺,所以必須短時間內能改多少文章就算多少,才會全球差不多時間一起被攻擊
二、「社交工程」入侵案例
進入主題之前,先來看幾個案例。 1. 3C達人 Tim 這是「3C達人Tim哥」半年前 50 萬訂閱數的 YouTube 頻道,被盜的過程自述影片: 簡單摘要一下重點:- Tim帳號被盜,但不是Tim的電腦或手機被盜,而是他同事的電腦被盜,因為他同事也有他的帳號權限
- Tim 同事在被盜過程,曾被誘導下載不明檔案,Tim 推測就是帳號被盜的關鍵
- Tim 有設定兩階段驗證,但他同事的電腦沒有,可能成為被攻擊的破口
- 也可能 Tim 某個同事搜尋資訊的過程點過釣魚連結,增加帳號被攻擊的機會
- Tim 另外分享有個 YouTuber 被盜,是因為收到合作邀約信件,裡面附的連結其實是釣魚網站,可以用來釣帳號
- 小烏曾開啟一封促銷郵件,點了裡面的促銷連結,結果網頁一直顯示 loading 不動,很是可疑,結果後來就發現她老公在為電腦殺病毒,而隔天正式發現 YouTube 頻道被盜
- 小烏有設定兩階段驗證,但沒作用,因為帳號相關資訊都被置換,她判斷是 Google 帳號被奪走,導致 YouTube 頻道被盜
- 後來小烏老公告知,事發的同一天曾收到商業合作郵件,下載了郵件附件,才開始後來的殺病毒舉動
三、「社交工程」的原理及防禦
1. 原理 根據維基「社交工程」的定義:在電腦科學,社交工程指的是通過與他人的合法交流,來使其心理受到影響,做出某些動作或者是透露一些機密資訊的方式。這通常被認為是欺詐他人以收集資訊、行騙和入侵電腦系統的行為。同時該頁面也說明了社交工程學的犯罪手法演進:
- 釣魚式攻擊:利用電子通訊偽裝知名單位(可能是詐騙電話),騙取機密資訊
- 電腦蠕蟲:利用郵件附檔散播蠕蟲惡意程式
- 垃圾郵件:以電子郵件夾帶木馬程式
- 惡意軟體:例如網路上偽裝成實用軟體、APP,引誘下載的程式
- 「兩階段驗證」保護帳號是有一定成效的,前提是帳號權限不能失去,就像 Tim 利用「兩階段驗證」守住了他自己手機的帳號
- 會失去帳號權限主要是曾下載不明檔案,例如 Tim 同事、小烏的先生
- 若只是點擊了釣魚連結,有可能該帳號會被釣、存取權會被取得,但還不至於失去帳號權限。只要有設定「兩階段驗證」,當駭客想取得帳號權限時,我們手機就會收到通知,那麼帳號就不至於被盜。
- 下載不明來源的檔案並執行,是風險最大、最嚴重等級的動作
- 一定要下載的話,請使用不重要的電腦,該電腦沒登入過重要帳號
- 如果要點擊不明連結,該台電腦使用的帳號,一定要設定兩階段驗證
- 如果有某台電腦的帳號沒有兩階段驗證,又必須點擊不明連結,可傳送到使用兩階段驗證帳號的電腦再點擊。
四、Blogger 防護概念
回到本篇的 Blogger 被駭事件,因為 FB 社團多位成員表示從未備份過文章,我想有必要讓站長們瞭解基本的防護概念,保護自己的網站不單是為自己也是為粉絲。 1. Blogger 官方的職責 前面有提過,想要從外部駭入 Google 伺服器我認為非常困難,所以這部分 Blogger 站長們是可以放心的。 只是這次的事件看起來是 Blogger 內部被攻破,導致某些站長們失去了不少文章,也讓我一度懷疑 Google 有沒有能力回復被修改的文章內容? 同時 FB 社團也有成員提出質疑,是否搬去 WP 會比較安全?我給他的回覆是,Blogger 被駭還有 Google 工程師能幫忙救,如果 WP 被駭有能力自己救的話就可以搬到 WP。 事實上我曾經幫客戶維護 WP 過,也遭遇過駭客入侵,解決方式就是靠備份,將網站還原到備份的時間點就正常了。這種防護方式不十分完美但已經足夠了。如果會有損失,主要就是還原的時間點到被駭的時間點之間,網站曾做過的變更需要重來。 而這次的事件 Blogger 並不是使用還原的某個時間點的處理方式,而是所有被修改過內容並植入惡意程式碼,然後被刪除的文章逐一還原,這樣的技術遠超 WP 自行維護的效果。 因此我必須說,Blogger 後端的防護交給 Google 工程師,比任何其他部落格平台都更為放心。 2. Blogger 站長的職責 後端若出了問題 Google 會負責,但前端站長們若沒把自己的網站、帳號守好,出了問題就非常難救。因此請建立以下正確的防護概念:- 網站需要自行定期備份:這是我遇過的案例「Blogger 文章不小心誤刪了怎麼辦?救回及善後技巧整理 」,只要是人為操作都有可能失誤,所以文章一定要備份,後面會提供有效率的作法。
- 網站少裝不明第三方外掛:可參考「為何部落格最好避免第三方外掛」系列文章,如果外掛不是由信任的網站提供,那麼不小心裝了木馬就慘了
- 瀏覽器外掛:例如 Chrome 只安裝官方套件,不安裝來路不明的 apk,很有可能是釣魚軟體
- 兩階段驗證:Google 帳號一定要設定兩階段驗證,否則帳號被盜網站也跟著被拿走了
- 下載檔案:要下載並執行不明檔案請使用沒登入重要帳號的電腦,否則帳號有可能被盜走
- Feedly:「忘了備份要如何救回部落格網站文章內容」→「三、搭配 Feedly 使用」
- IFTTT:「部落格文章如何全自動備份__IFTTT 應用」
- Gmail:Blogger 後台 → 設定 → 電子郵件 → 邀請更多人加入文章通知 → 填入 Gmail,將來網站有新文章就會自動備份到郵件,同時可在 Gmail 設定篩選規則,將網站文章集中在相同標籤
五、補充
「粉絲團貼文」有讀者留言,覺得非常實用,引用分享如下:分享如何判斷假業配:查信用、看國籍、問價碼和付款方式。可疑的郵件和連結如果真的要開,用虛擬機開,反正還原只要五分鐘。那種風平不佳的國家(包括台灣和日本),除非將近五星,都不要考慮。付款方式模稜兩可,支吾其詞的嫌疑都很高。台灣勞工福利低,目前還沒有外包客戶評價平台,是個需要改進方向。路過的大大有興趣可以考慮。
更多「資訊安全」相關文章:
沒有留言:
張貼留言注意事項:
◎ 勾選「通知我」可收到後續回覆的mail!
◎ 請在相關文章留言,與文章無關的主題可至「Blogger 社團」提問。
◎ 請避免使用 Safari 瀏覽器,否則無法登入 Google 帳號留言(只能匿名留言)!
◎ 提問若無法提供足夠的資訊供判斷,可能會被無視。建議先參考這篇「Blogger 提問技巧及注意事項」。
◎ CSS 相關問題非免費諮詢,建議使用「Chrome 開發人員工具」尋找答案。
◎ 手機版相關問題請參考「Blogger 行動版範本的特質」→「三、行動版範本不一定能執行網頁版工具」;或參考「Blogger 行動版範本修改技巧 」,或本站 Blogger 行動版標籤相關文章。
◎ 非官方範本問題、或貴站為商業網站,請參考「Blogger 免費諮詢 + 付費諮詢」
◎ 若是使用官方 RWD 範本,請參考「Blogger 推出全新自適應 RWD 官方範本及佈景主題」→ 不建議對範本進行修改!
◎ 若留言要輸入語法,"<"、">"這兩個符號請用其他符號代替,否則語法會消失!
◎ 為了過濾垃圾留言,所有留言不會即時發佈,請稍待片刻。
◎ 本站「已關閉自刪留言功能」。