社会工程学(钓鱼式攻击和欺骗性网站)

社会工程学内容是指会诱使访问者执行某些危险操作的内容,例如诱使访问者透露机密信息或下载软件。如果 Google 检测到您的网站包含社会工程学内容,Chrome 浏览器便可能会在访问者浏览您的网站时显示“您要访问的是诈骗网站”警告。您可以在 Search Console 的“安全问题”报告中查看自己的网站上是否有网页涉嫌包含社会工程学攻击内容。

打开“安全问题”报告

什么是社会工程学攻击?

社会工程学攻击是指诱使网络用户在线执行某些危险操作。

社会工程学攻击有多种类型:

  • 钓鱼式攻击这类网站会诱使用户透露个人信息(例如密码、电话号码或社会保障号)。此类内容会效仿可信实体(例如浏览器、操作系统、银行或政府机构)的行为或外观。
  • 欺骗性内容:这类内容会试图诱使您做出一些您只会对可信实体做出的行为(例如透露密码、致电技术支持部门或下载软件);也可能会含有谎称设备软件不是最新版本的广告,并提示用户安装垃圾软件。
  • 标识不明的第三方服务:第三方是代表其他实体运营网站或服务的提供商。如果您(第三方)代表其他方(第一方)运营网站,而未明确说明双方关系,则这种行为可能会被标记为社会工程学行为。例如,如果您(第一方)运营着一个慈善机构网站,并通过某捐赠管理网站(第三方)来处理您网站的募捐事宜,那么该捐赠网站必须明确说明它是代表您的慈善机构网站的第三方平台,否则这可能会被视为社会工程学行为。

如果网页经常会从事社会工程学行为,那么 Google 安全浏览功能会在网络用户访问这类网页之前发出警告,以免他们遭到攻击。

在下列任一情况下,网页都会被视为从事社会工程学行为:

  • 效仿可信实体(例如,您自己的设备/浏览器或网站本身)的行为或外观。
  • 企图诱使您做出一些您只会对可信实体做出的行为,例如透露密码、致电技术支持部门或下载软件。

内嵌内容中的社会工程学攻击

社会工程学内容也可能会出现于其他方面均无害的网站的内嵌内容中(通常会在广告中显示)。内嵌式社会工程学内容违反了托管页面的政策。

有时,用户会在托管页面上看到内嵌式社会工程学内容,详见示例部分。在另一些情况下,托管网站虽然不会直接显示广告,但会通过弹出式窗口、背后弹出式窗口或其他类型的重定向将用户转到社会工程学页面。在这两种情形下,此类内嵌式社会工程学内容都会违反托管页面的相关政策。

但我没有参与社会工程学攻击!

黑客可能会通过嵌入到网页中的资源(例如图片、其他第三方组件或广告)植入欺骗性社会工程学内容。此类欺骗性内容可能会诱使网站访问者下载垃圾软件

此外,黑客可能会窃取对正常网站的控制权,并利用这些网站托管或传播社会工程学内容。黑客还可能会更改网站内容或向网站添加额外网页,目的通常是诱使访问者透露个人信息,例如信用卡号码。您可以查看 Search Console 中的“安全问题”报告,了解自己的网站是否已被认定为托管或传播社会工程学内容的网站。

如果您认为自己的网站遭到了黑客攻击,请参见我们的网站遭到入侵的相关帮助

社会工程学攻击违规示例

欺骗性内容示例

以下是一些采取了社交工程做法的网页示例:

社交工程弹出式窗口,试图诱使用户安装垃圾应用
欺骗性弹出式窗口,企图诱使用户安装恶意软件。

声称需要更新浏览器的社会工程学攻击尝试示例
欺骗性弹出式窗口,声称能帮助用户更新浏览器

假冒 Google 登录页面
假冒 Google 登录页面

欺骗性广告示例

以下是一些嵌入式广告中的欺骗性内容示例。这些广告看似网页的部分内容,并不像是广告。

欺骗性广告,声称是网页上的媒体播放器更新
欺骗性弹出式窗口,声称用户的软件已过期。

欺骗性广告,声称是必需组件的安装程序
欺骗性弹出式窗口,声称由 FLV 开发者提供

欺骗性广告,声称是托管网页上的播放控制器按钮
伪装成页面操作按钮的广告。

如何解决上述问题

如果您的网站被标记为含有社会工程学内容(欺骗性内容),请确保网页未从事任何相关行为,然后执行以下步骤:

  1. 在 Search Console 中查看
    • 在 Search Console 中验证您对自己网站的所有权,并确认没有多出任何新的可疑所有者。
    • 查看“安全问题”报告,看看您的网站是否被列为包含欺骗性内容(这是用于报告社会工程学内容的术语)的网站。如果报告包含一些被标记的示例网址,请访问报告中列出的部分网址,但请不要使用您网站的服务器所在网络内的计算机(如果狡猾的黑客认为访问者是网站所有者的话,他们可能会暂停其攻击行为)。

      如果报告不含示例网址,并且您确信您的网站不包含社会工程学内容(欺骗性内容),便可在“安全问题”报告中提交安全审核请求

  2. 移除欺骗性内容。确保您网站的所有网页都不包含欺骗性内容。如果您认为安全浏览功能对某个网页的分类有误,请报告该问题
  3. 检查您的网站中包含的第三方资源。确保您网站的网页上没有任何欺骗性的广告、图片或其他嵌入式第三方资源。
    • 请注意,广告网络可能会轮播在您网站的网页上展示的广告。因此,您可能需要刷新几次网页,然后才能确定其中是否有任何社会工程学广告。
    • 某些广告在移动设备和桌面设备上可能会以不同的方式展示。您可以使用网址检查工具在移动版视图和桌面版视图中查看您的网站。
    • 请检查您在网站中使用的所有第三方服务(例如付款服务)是否遵循了第三方服务指南
  4. 提交审核请求。从您的网站中移除所有社会工程学内容后,您可以在“安全问题”报告中提交安全审核请求。审核过程可能需要几天的时间才能完成。

第三方服务指南

如果您的网站含有第三方服务,我们建议您满足以下条件,以免网站被标记为包含社会工程学内容:

  • 在每个网页上,第三方网站都明确包含第三方品牌,确保用户了解网站的运营者是谁。例如,您可以将第三方品牌添加到页面顶部。
  • 在包含第一方品牌信息的每个页面上,明确说明第一方和第三方之间的关系,并提供详情链接。例如,页面可以显示以下声明:

    此服务由 Example.com 代表 Example.charities.com 进行托管。了解详情。

为了确保网站具有良好的易用性,原则上要做到:无论用户单独浏览哪个网页,都能知道该网页属于哪个网站以及第一方与第三方之间的关系。

如果您是 Search Console 用户,并且您的网站存在持续出现或无法解决的安全问题,请告诉我们。

报告安全问题