近期媒體瘋傳Gmail有25億筆資料外洩,甚至有人收到電話和郵件稱密碼已經遭到外洩,建議更換密碼的訊息。若您收到這樣的訊息請務必小心,這有可能是假冒的詐騙集團,以下文章將告訴你詳細情況、真正的事件始末以及自保的作法。
一、Gmail 資料外洩最新狀況
最近各大媒體瘋傳「Google 警告 25 億 Gmail 使用者」與「2.5B Gmail 外洩」的標題,但Google 已出面澄清:不是所有 Gmail 都被要求重設密碼,也沒有大規模 Gmail 密碼外洩;真正的事件是Google 的一個 Salesforce(CRM)資料庫遭入侵,外洩的是企業聯絡資訊與備註等較低敏感度資料,卻因此引發釣魚與假客服(vishing)詐騙激增。重點:風險在於詐騙,而不是你 Gmail 的密碼被整批偷走。
為什麼要小心?
因為詐騙集團手上握有「看起來很真」的企業聯絡清單與互動脈絡,更容易冒充 Google/IT 支援人員,讓你在電話或 Email 中自願交出一次性驗證碼、同意惡意 OAuth 權限,或關掉多重驗證。Google 自家的威脅情報也示警,攻擊者(ShinyHunters / UNC6040)正把語音釣魚與資料恐嚇當成主軸,甚至可能開資料外洩站放話施壓。
二、時間線與「到底外洩了什麼?」
- 2025/6 起:Google 威脅情報團隊揭露一波鎖定 Salesforce 客戶的語音釣魚(vishing)+ 社交工程攻擊,會誘導員工安裝被改造的 Salesforce 工具、竊走資料並進行勒索與橫向擴散。
- 2025/8:Google 證實自家一個 Salesforce 資料庫遭攻擊者取用,外洩範圍侷限在中小企業(SMB)客戶的基本商業聯絡資訊與內部備註(如公司名稱、聯絡方式等),非 Gmail 密碼或郵件內容。Google 隨即切斷存取並通知受影響對象。
- 2025/8 下旬~9 月:媒體以「25 億 Gmail 使用者」為標題擴大解讀,引發市場恐慌;Google 公開否認曾對全體 Gmail發布「改密碼」總動員,並再次強調主要風險是釣魚、冒名詐騙以及弱密碼攻擊。
三、為什麼你(一般用戶 / 上班族 / 管理員)還是要注意?
- 暴力破解密碼:若你還在使用弱強度的密碼(例如只有數字組合、電話號碼或是生日等個人資訊),那你的密碼還是很有可能被有心人士暴力破解。更令人擔心的是 Google 本身的統計資料顯示,目前只有約 36% 的使用者會定期更換密碼。換句話說,有超過一半以上的使用者帳戶可能處於極高風險中,帳戶可能隨時被盜。
- 詐騙轉換率暴增:有了真實聯絡資料、職稱、往來脈絡,假客服電話、假安全通知信會像量身訂做。只要你在電話中念出 6 位數碼、或在頁面上點了「允許」,攻擊者就能越權登入或長期攔信。
- 企業帳號特別危險:攻擊者鎖定 Google Workspace 管理員與客服流程,冒充 IT 支援,「幫你」重設密碼、停用 2FA、或引你裝「工單工具」。一旦得手,郵件、雲端硬碟、行事曆、群組通訊錄都會淪陷。
- 壓力型勒索:攻擊者可能把你的公司列為「外洩名單」,用「資料外洩站」威脅逼付費。即使資料敏感度不高,商業機密與商譽仍是痛點。
四、正在發生的 7 種 Gmail 詐騙手法
- 假 Google 客服電話(Vishing)
近期已有人接獲來自 650 區碼的電話,自稱「Google 安全部門」,要你口述驗證碼、停用 2FA、或點入遠端協助連結。重點:Google 不會以電話索要密碼或驗證碼。 - 「Gmail 安全警示」釣魚信
標題寫「您被列為受影響帳戶,請立即重設密碼」。信中夾帶假登入頁或 OAuth 權限同意頁(請求讀取信件、發信、存取雲端硬碟)。一旦同意,攻擊者可持久存取你的郵件。 - 社交工程詐騙
冒充 IT 人員,主動提出「幫你恢復帳號」,引導你提供備援信箱/電話收到的驗證碼,或要求你在「官方表單」輸入恢復碼。實際上在盜取你的帳號。 - MFA 疲勞轟炸
不斷觸發你手機的登入核准通知,讓你在忙亂中按下「同意」,或在電話中被說服暫停多重驗證。 - 假資料外洩查詢站
打著「查你是否在 25 億名單」為名,誘導輸入帳密或付款。注意!千萬別在陌生站點輸入 Google 帳密。
五、我現在該做什麼?(Gmail 使用者自保清單)
更改密碼
雖然官方沒有要求全部Gmail立刻改密碼,但是若你近期有點過可疑連結、口述過驗證碼、帳密重複使用或是密碼強度太弱,那就馬上改!
啟用無密碼登入(Passkeys)或MFA
Passkeys 是使用生物特徵(指紋、人臉、虹膜等)、公司鑰體系以及額外裝置進行認證登入,讓你不再是依賴密碼登入帳號,可有效降低詐騙集團密碼釣魚的成功率;若仍用簡訊 2FA,也建議改用驗證器 App。
做一次 Google「安全健檢」
檢查:登入裝置、第三方存取、近期安全事件、轉寄規則(有無把郵件偷偷外送別處)、過去 30 天活動。
開啟登入與郵件安全通知
保持「新裝置登入」「安全性異常」通知開啟,郵件中若看到「你的轉寄/過濾器被更動」,務必追查。留意是否出現不明登入、密碼重設通知、銀行簡訊、或社群綁定異常。出現徵兆立即改密碼並撤權。
防電話詐騙(Vishing)
原則:先掛、再回撥官方通道。任何自稱 Google/銀行/電信要求你念驗證碼、停用 2FA、安裝軟體的,一律當詐騙。
使用「零信任」企業級資安防護
如果你是企業用戶,上述這些作法對您遠遠不夠,企業中的幾百甚至到數萬名員工只要有任何一人成為破口,整個企業的資訊都有可能外流,因此您應該採取更加積極且全面的做法——零信任。
什麼是零信任?
零信任(Zero Trust)是一種資安模型,主張在任何情況下,不預設任何使用者、裝置、應用程式或網路流量是可信任的,所有存取行為必須動態驗證並依據風險動態授權。即使是內部網路的存取,也必須經過多重驗證與持續監控。
這意味著外部人士更加無法使用盜取來的帳號密碼,甚至是驗證碼就登入您的後台系統,就算是直接用您員工的裝置登入,也有很大的機會觸發登出,而且能獲取的資料非常有限。零信任讓企業可能造成的損害最小化。
如何導入零信任?
「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。