Blogger 群體被駭事件始末﹍淺談「社交工程」如何入侵網站

使用 Blogger 超過十年，上禮拜發生有史以來最嚴重事件，整個平台所有網站都被牽連：

• 當天早上所有 Blogger 網站都被判定為「詐騙網站」，前、後台都無法進入
• 部分網站不斷收到郵件通知，表示文章內容違反 Blogger 政策，因而被自動刪除

情況看起來很是危急，不過直接說結論，Blogger 很快就恢復全部異常狀態：

• 「前、後台都無法進入」的狀況大約 1 小時左右，全部網站恢復正常
• 「所有被自動刪除的文章」大約 12 小時後全部救回，且文章網址沒有異動，不影響 SEO

完整的事發經過可參考這個 FB 社團討論串，最早是成員 Ellen 通報「Blogger 網站無法進入且文章被刪除」。這次事件雖然有驚無險，但我認為背後有十分重要的意涵及警訊，特此進行記錄做為給所有站長的提醒。 (圖片出處:pexels.com)

一、為何 Blogger 文章被大量刪除

1. 事件記錄對多數 Blogger 站長而言，此次可說只是虛驚一場，但對少數站長而言就是心驚動魄了。因為大量文章被刪除，多年心血也不知能否救回，若平日還沒有備份的習慣，上禮拜那天將會很不好過。 手上經營的 Blogger 網站起碼有十多個，其中一個遭到文章被刪，從我這個小樣本推估也許全球有 1/10 ~ 1/20 的網站遭波及(當然也許沒那麼糟)。我在 FB 社團做了「事件記錄」，以下簡單摘要：

• 收到郵件通知，不斷告知我的XX文章因違反Blogger政策「惡意軟體和病毒」而遭到刪除。
• 接著前後台開始無法進入，出現「你要瀏覽的是詐騙網站」字樣
• 根據「Blogger 官方論壇」的回報，全世界發生的時間都差不多，有大量使用者受害
• 這代表 Google 一度偵測到有大量 Blogger 網站，網頁內容含有「惡意軟體和病毒」，故而啟動自動防護機制，將所有 Blogger 平台網站顯示警告字樣，避免訪客進入受到詐騙、釣魚內容的傷害

從以上現象來看，Google 的作法是值得肯定的，就像全球疫情的作法，發現病毒後需立刻進行隔離、圍堵。雖然訪客與站長會受到不便與驚嚇，但可確保所有人不受詐騙內容的影響。 2. Blogger 被駭然而問題就出在，為何我網站的文章會出現「惡意軟體和病毒」呢？有兩種可能，要嘛我的帳號被駭了，要嘛 Blogger 被駭。但無論是哪一種，可以確定的是 Blogger 被入侵了。 理論上來說 Google 是網路巨擘，要我相信有人能駭入 Google 伺服器還是相當困難的，應該會是世界性的新聞。比較有可能的狀況大概是這樣：(以下為個人分析，不代表為實際狀況)

• 假設全球有 1/20 Blogger 站長帳號同時被駭、且同時發動攻擊 → 這個數量及難度實在大高也太誇張，可能性趨近零
• 假設某個 Blogger 官方擁有高權限的工程師帳號被駭，駭客取得他的權限後就可操作 Blogger API 修改所有使用者的文章，植入惡意程式碼 → 這發生的可能性相對較高
• 假設後者為真，駭客也知道相關動作很快就會被察覺，所以必須短時間內能改多少文章就算多少，才會全球差不多時間一起被攻擊

假如實情接近我的猜想，那就不是 Google 伺服器被攻擊，而是內部帳號權限被「社交工程」這樣的手法攻破，那麼這個手法也是本篇要探討的主題。

二、「社交工程」入侵案例

進入主題之前，先來看幾個案例。 1. 3C達人 Tim這是「3C達人Tim哥」半年前 50 萬訂閱數的 YouTube 頻道，被盜的過程自述影片：

• YouTube頻道被盜！公開當天被盜全記錄，三年心血都沒了

簡單摘要一下重點：

• Tim帳號被盜，但不是Tim的電腦或手機被盜，而是他同事的電腦被盜，因為他同事也有他的帳號權限
• Tim 同事在被盜過程，曾被誘導下載不明檔案，Tim 推測就是帳號被盜的關鍵
• Tim 有設定兩階段驗證，但他同事的電腦沒有，可能成為被攻擊的破口
• 也可能 Tim 某個同事搜尋資訊的過程點過釣魚連結，增加帳號被攻擊的機會
• Tim 另外分享有個 YouTuber 被盜，是因為收到合作邀約信件，裡面附的連結其實是釣魚網站，可以用來釣帳號

無論真實情況是哪一種，這些攻擊都不屬於外部的駭客攻擊手法，而是屬於內部攻擊(直接奪取帳號)。 2. YouTuber 腦洞烏托邦這是超過 80 萬訂閱的「腦洞烏托邦」，上個月 YouTube 頻道被盜的過程自述影片：

• 讓80萬粉絲Youtuber一夜之間消失的黑客！危機中如何自救

簡單摘要一下重點：

• 小烏曾開啟一封促銷郵件，點了裡面的促銷連結，結果網頁一直顯示 loading 不動，很是可疑，結果後來就發現她老公在為電腦殺病毒，而隔天正式發現 YouTube 頻道被盜
• 小烏有設定兩階段驗證，但沒作用，因為帳號相關資訊都被置換，她判斷是 Google 帳號被奪走，導致 YouTube 頻道被盜
• 後來小烏老公告知，事發的同一天曾收到商業合作郵件，下載了郵件附件，才開始後來的殺病毒舉動

3. 歸納整理從以上兩個案例比對，可看到這些帳號被駭的手法重疊性很高，主要都是點擊可疑連結，或是下載了可疑檔案。對駭客來說，攻擊伺服器是比較困難的，但攻擊人性是比較簡單的，只要能想辦法誘使目標點擊連結、下載檔案，就能駭走帳號，這樣的手法就是本篇的主題「社交工程」。

三、「社交工程」的原理及防禦

1. 原理根據維基「社交工程」的定義：

在電腦科學，社交工程指的是通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機密資訊的方式。這通常被認為是欺詐他人以收集資訊、行騙和入侵電腦系統的行為。

同時該頁面也說明了社交工程學的犯罪手法演進：

• 釣魚式攻擊：利用電子通訊偽裝知名單位(可能是詐騙電話)，騙取機密資訊
• 電腦蠕蟲：利用郵件附檔散播蠕蟲惡意程式
• 垃圾郵件：以電子郵件夾帶木馬程式
• 惡意軟體：例如網路上偽裝成實用軟體、APP，引誘下載的程式

2. 「社交工程」如何攻破心防瞭解以上手法後，在配合本篇看到的所有案例，可知駭客、攻擊者，都是不斷研發各種手法、精進文案內容，想盡辦法利用人性心理弱點，來誘使點擊釣魚連結，下載惡意程式並執行。 以 YouTube 頻道主、部落格站長而言，最容易卸下心防的就是「業配合作邀約」，當看到賺錢機會時，有誰會去懷疑這封郵件內含釣魚連結嗎？廠商提供的合作說明附檔，有可能忍住不下載嗎？ 當然釣魚郵件的手法還有很多，假冒系統通知信、製造恐慌內容、偽裝知名官網或企業都有。除了這些郵件舉例，我也遇過粉絲團有人傳訊希望合作，並附上他的公司網址連結，只不過看起來有點特別，網域是 .jp ，如果是你有可能忍住不去點擊嗎？ 3. 防禦「社交工程」從本篇提供的所有案例過程來看，我大致歸納一下想法：

• 「兩階段驗證」保護帳號是有一定成效的，前提是帳號權限不能失去，就像 Tim 利用「兩階段驗證」守住了他自己手機的帳號
• 會失去帳號權限主要是曾下載不明檔案，例如 Tim 同事、小烏的先生
• 若只是點擊了釣魚連結，有可能該帳號會被釣、存取權會被取得，但還不至於失去帳號權限。只要有設定「兩階段驗證」，當駭客想取得帳號權限時，我們手機就會收到通知，那麼帳號就不至於被盜。

至於為何下載惡意檔案後，會讓兩階段驗證失去效用、失去帳號權限，這方面我不是專業人士，無法細說原理，只能簡單說：「點擊釣魚連結後，駭客取得的權限限於瀏覽器環境；下載惡意檔案，駭客取得的權限是整部電腦，因此更為可怕」。 不過對於如何防禦「社交工程」的攻擊，以下是我的分析與理解：

• 下載不明來源的檔案並執行，是風險最大、最嚴重等級的動作
• 一定要下載的話，請使用不重要的電腦，該電腦沒登入過重要帳號
• 如果要點擊不明連結，該台電腦使用的帳號，一定要設定兩階段驗證
• 如果有某台電腦的帳號沒有兩階段驗證，又必須點擊不明連結，可傳送到使用兩階段驗證帳號的電腦再點擊。

四、Blogger 防護概念

回到本篇的 Blogger 被駭事件，因為 FB 社團多位成員表示從未備份過文章，我想有必要讓站長們瞭解基本的防護概念，保護自己的網站不單是為自己也是為粉絲。 1. Blogger 官方的職責前面有提過，想要從外部駭入 Google 伺服器我認為非常困難，所以這部分 Blogger 站長們是可以放心的。 只是這次的事件看起來是 Blogger 內部被攻破，導致某些站長們失去了不少文章，也讓我一度懷疑 Google 有沒有能力回復被修改的文章內容？ 同時 FB 社團也有成員提出質疑，是否搬去 WP 會比較安全？我給他的回覆是，Blogger 被駭還有 Google 工程師能幫忙救，如果 WP 被駭有能力自己救的話就可以搬到 WP。 事實上我曾經幫客戶維護 WP 過，也遭遇過駭客入侵，解決方式就是靠備份，將網站還原到備份的時間點就正常了。這種防護方式不十分完美但已經足夠了。如果會有損失，主要就是還原的時間點到被駭的時間點之間，網站曾做過的變更需要重來。 而這次的事件 Blogger 並不是使用還原的某個時間點的處理方式，而是所有被修改過內容並植入惡意程式碼，然後被刪除的文章逐一還原，這樣的技術遠超 WP 自行維護的效果。 因此我必須說，Blogger 後端的防護交給 Google 工程師，比任何其他部落格平台都更為放心。 2. Blogger 站長的職責後端若出了問題 Google 會負責，但前端站長們若沒把自己的網站、帳號守好，出了問題就非常難救。因此請建立以下正確的防護概念：

• 網站需要自行定期備份：這是我遇過的案例「Blogger 文章不小心誤刪了怎麼辦？救回及善後技巧整理 」，只要是人為操作都有可能失誤，所以文章一定要備份，後面會提供有效率的作法。
• 網站少裝不明第三方外掛：可參考「為何部落格最好避免第三方外掛」系列文章，如果外掛不是由信任的網站提供，那麼不小心裝了木馬就慘了
• 瀏覽器外掛：例如 Chrome 只安裝官方套件，不安裝來路不明的 apk，很有可能是釣魚軟體
• 兩階段驗證：Google 帳號一定要設定兩階段驗證，否則帳號被盜網站也跟著被拿走了
• 下載檔案：要下載並執行不明檔案請使用沒登入重要帳號的電腦，否則帳號有可能被盜走

3. Blogger 自動備份定期備份文章是一件瑣碎的工作，沒幾個人有耐心與毅力執行，所以這件事最好交給程式自動執行。 過去我寫了不少備份的方法，請站長們擇一進行就可以了：

• Feedly：「忘了備份要如何救回部落格網站文章內容」→「三、搭配 Feedly 使用」
• IFTTT：「部落格文章如何全自動備份__IFTTT 應用」
• Gmail：Blogger 後台 → 設定 → 電子郵件 → 邀請更多人加入文章通知 → 填入 Gmail，將來網站有新文章就會自動備份到郵件，同時可在 Gmail 設定篩選規則，將網站文章集中在相同標籤

五、補充

「粉絲團貼文」有讀者留言，覺得非常實用，引用分享如下：

分享如何判斷假業配：查信用、看國籍、問價碼和付款方式。可疑的郵件和連結如果真的要開，用虛擬機開，反正還原只要五分鐘。那種風平不佳的國家（包括台灣和日本），除非將近五星，都不要考慮。付款方式模稜兩可，支吾其詞的嫌疑都很高。台灣勞工福利低，目前還沒有外包客戶評價平台，是個需要改進方向。路過的大大有興趣可以考慮。