社交工程 (網路釣魚和詐欺網站)
社交工程是指誘騙訪客從事危險行為,例如提供機密資訊或下載軟體。如果 Google 偵測到您的網站含有社交工程內容,當訪客透過 Chrome 瀏覽器瀏覽您的網站時,可能會看到「你要瀏覽的是詐騙網站」的警告訊息。透過在 Search Console 中瀏覽「安全性問題」報告,可查看您網站上的頁面是否含有疑似社交工程攻擊內容。
什麼是社交工程?
如果網頁使用者因受騙而在線上從事危險行為,就是遭到所謂的「社交工程攻擊」。
社交工程攻擊分為以下幾類:
- 網路詐騙:這類網站內容會仿效可信實體 (例如瀏覽器、作業系統、銀行或政府) 的行為或外觀/風格,藉此誘騙使用者提供密碼、電話號碼或身分證字號資料等個人資訊。
- 不實內容:這類內容會試圖誘騙您從事只會對可信實體做出的行為,例如提供密碼、撥打電話給技術支援團隊、下載軟體;這類網站內容也可能含有廣告,並於廣告中宣稱裝置的軟體過舊,提示使用者安裝垃圾軟體。
- 標示不明的第三方服務:「第三方服務」是指某方代替另一個實體經營網站或服務。若您 (第三方) 代替另一方 (第一方) 經營網站,但未表明您與對方的關係,系統就可能將該網站標示為具有社交工程問題。舉例來說,假設您 (第一方) 經營慈善網站,並透過捐款管理網站 (第三方) 處理您網站的募款金額,那麼捐款網站必須標明本身是第三方平台,僅代表慈善網站處理相關事宜,否則系統可能會將捐款網站視為有社交工程問題。
如果網頁經常發生社交工程行為,Google 安全瀏覽服務會在使用者造訪該頁面之前顯示警告訊息,以保護使用者。
如有以下行為,即屬於社交工程網頁:
- 仿效可信實體 (例如使用者的裝置、瀏覽器或網站本身) 的行為和外觀/風格;或者
- 試圖誘騙使用者從事只會對可信實體做出的行為,例如提供密碼、撥打電話給技術支援團隊或下載軟體。
內嵌內容中的社交工程
社交工程也可能出現在良性本質網站的內嵌內容中,通常是廣告。網頁一旦含有內嵌式社交工程內容,即違反了我們的政策。
有時,使用者會在這類網頁上看到內嵌的社交工程內容 (如示例所示)。在其他情況下,這類網站不會顯示任何廣告,但會透過彈出式視窗、背後彈出式視窗或其他類型的重新導向方式將使用者導向社交工程網頁。無論是哪一種情況,這類含有內嵌式社交工程內容的網頁都違反了我們的政策。
我並未從事社交工程行為!
嵌入網頁中的各種資源,例如圖片、其他第三方元件或廣告;都可能含有詐欺性的社交工程內容。這類欺詐內容會誘騙網站訪客下載垃圾軟體。
此外,駭客可能會控制正常的網站,用於代管或散布社交工程內容。駭客可能會變更網站內容,或是在網站上植入額外的網頁,這類行為的目的通常是誘騙訪客提供個人資訊,例如信用卡號碼。您可以前往 Search Console 查看安全性問題報告,確認系統是否將您的網站視為代管或散布社交工程內容的網站。
如果您認為自己的網站遭到駭客入侵,請參閱我們遭入侵網站協助說明。
社交工程違規示例
欺詐內容示例
以下列舉一些從事社交工程行為的網頁示例:
欺騙性廣告示例
以下列舉一些內嵌廣告中的欺詐內容示例。這些廣告會融入網頁介面,不會顯示為獨立的廣告。
修正相關問題
如果有人檢舉您的網站含有社交工程內容 (欺詐內容),請確認您的網頁並未從事任何相關行為,然後依照下列步驟操作:
-
在 Search Console 中查看。
- 前往 Search Console 驗證您的網站擁有權,確認沒有多出可疑的新擁有者。
-
查看安全性問題報告,瞭解您的網站是否被列為含有「欺詐內容」(這是報告中對於社交工程使用的詞彙)。如果報告中含有已標記的示例網址,請瀏覽報告中列出的部分網址,但不要使用與您的網站伺服器相同網路的電腦,因為狡猾的駭客若認為訪客是網站擁有者,可能會暫停攻擊行為。
如果報告不含示例網址,而且您確定網站不含社交工程 (欺騙性內容),請在「安全性問題」報告中提出安全性審查要求。
- 移除不實內容。確定您網站上的網頁沒有包含任何不實內容。如果認為 Google 安全瀏覽服務對網頁的歸類有誤,請回報問題。
- 檢查您網站上的第三方資源。確定您網站網頁中的廣告、圖片或其他內嵌的第三方資源沒有任何不實內容。
- 要求審查。將網站上的社交工程內容全部移除後,您可以在「安全性問題」報告中提出安全性審查要求。審查程序可能需要花費數天才能完成。
第三方服務規範
如果您的網站含有第三方服務,網站必須符合下列條件才能避免遭標示為從事社交工程行為:
- 在第三方網站的每個網頁上,清楚列出第三方品牌標示,確保使用者知道是誰在經營網站;例如在網頁頂端顯示第三方品牌。
- 在每個含有第一方品牌標示的網頁上,明確指出第一方和第三方的關係,並提供包含更多資訊的連結;例如加入類似下方的聲明:
本服務是由 Example.com 代表 Example.charities.com 提供。瞭解詳情
為了確保網站擁有良好可用性,原則上要做到無論使用者單獨查看哪一個網頁,都能知道該網頁屬於哪一個網站,以及第一方和第三方之間的關係。
如果您是 Search Console 使用者,且您的網站有無法修正或持續發生的安全性問題,請通知我們。