攻擊者不需要一直盯著你的信箱,設定一條規則就夠了
帳號被入侵之後,很多攻擊者不會立刻做出明顯的動作。他們不會大量刪除信件,不會更改密碼讓你察覺,而是悄悄在 Gmail 設定裡新增一條自動轉寄規則。 從那一刻起,你所有新收到的信件,都會在你閱讀的同時,靜默地複製一份傳送到對方指定的信箱。銀行的交易通知、帳號的驗證碼、重要的合約與聯絡資訊,全部都在你毫不知情的狀態下持續外流。 這個手法之所以有效,是因為它不會觸發任何明顯的警報。信件仍然正常送達你的信箱,帳號仍然可以正常登入,一切看起來都和平時一樣,直到你偶然間進入設定頁面,才有機會發現那條規則的存在。
Gmail 設定中最需要優先確認的區域
自動轉寄設定 進入 Gmail 設定頁面,選擇轉寄和 POP/IMAP 分頁,確認轉寄的設定狀態。如果看到一個你不認識的信箱地址被設定為轉寄目標,需要立即停用並刪除這條規則。正常情況下,這個區域應該是空白的,或者只有你自己設定過的轉寄地址。 郵件過濾器 過濾器是 Gmail 中一個功能強大但很少被普通使用者主動使用的功能。攻擊者有時會建立過濾器,把特定類型的信件自動標記為已讀、自動封存,或是直接刪除,讓你看不到重要的安全通知或驗證信件。 確認方式是在 Gmail 設定的過濾器和封鎖的地址分頁中,查看是否存在你不記得設定過的過濾規則,特別留意那些會把信件直接刪除或封存的規則。 已授權的第三方應用程式 許多使用者在使用各種服務時,會透過 Google 帳號登入,或是授予第三方 App 存取 Gmail 的權限。部分這類授權的範圍非常廣,包括讀取所有信件、發送信件,甚至管理信箱設定。 確認方式: 1.前往 myaccount.google.com 2.選擇安全性 3.找到你在 Google 登入的第三方應用程式 4.逐一確認每個應用程式的名稱與授予的權限範圍 5.移除任何不認識或不再使用的授權 這個步驟很多人做完之後,都會發現有幾個早已忘記授權過的服務仍然保有完整的信箱存取權限。
登入裝置與 Gmail 活動紀錄
Gmail 在信箱頁面的右下角有一個不太顯眼的功能,就是查看帳號活動的連結。點開之後可以看到最近存取這個 Gmail 信箱的裝置清單,包含存取時間、裝置類型與大致地點資訊。 如果看到不認識的裝置或地點出現在這份清單中,可以直接點選登出所有其他網頁工作階段,強制所有其他裝置的 Gmail 登入狀態失效。這個動作不會更改密碼,如果懷疑帳號已被入侵,後續仍然需要進行密碼更換與雙重驗證的確認。
IMAP 與 POP3 的存取設定
Gmail 支援透過 IMAP 和 POP3 協定,讓第三方郵件客戶端存取信箱內容。這個功能在使用 Outlook、Apple Mail 或其他郵件軟體管理 Gmail 時會用到,但如果你沒有使用這類軟體,這兩個功能預設不需要開啟。 如果在設定頁面中發現 IMAP 或 POP3 處於啟用狀態,但你並沒有使用任何第三方郵件客戶端,可以考慮把這兩個選項關閉,減少信箱的外部存取管道。
確認完設定之後的下一步
完成上述所有設定的確認之後,如果一切正常,代表你的 Gmail 信箱目前在設定層面處於相對安全的狀態。如果在過程中發現了任何異常,例如不認識的轉寄地址、不明的過濾規則,或是陌生的第三方應用程式授權,建議同步進行密碼更換,並確認 Google 帳號的雙重驗證處於啟用狀態。 如果在整理的過程中發現異常的範圍超出預期,或是不確定某些授權紀錄代表的風險程度,VexelOps 可以協助你釐清事件的影響範圍,並提供後續的安全確認步驟。
Gmail 安全設定常見問題
發現不認識的轉寄規則,代表帳號一定被入侵了嗎?
發現不認識的轉寄規則,是一個需要認真對待的警訊,但不一定代表帳號已遭到完整入侵。這個規則可能是你在某個時間點忘記設定過的,也可能是透過某個第三方服務授權後自動建立的,當然也可能是帳號被入侵後由攻擊者設定的。 無論原因為何,發現不認識的轉寄規則後,正確的處理順序是先停用並刪除該規則,接著查看帳號的近期登入活動,確認是否有不認識的裝置存取紀錄,然後更改帳號密碼,並確認雙重驗證的設定是否完整。如果登入活動紀錄中出現了陌生的裝置或地點,那麼帳號很可能確實有過未授權的存取,需要進一步處理。
Gmail 的雙重驗證開啟之後,轉寄規則被設定的風險就消失了嗎?
開啟雙重驗證能夠大幅提高帳號被未授權登入的門檻,但它保護的是登入這個動作本身,而不是帳號設定被更改的可能性。 如果攻擊者已經完成登入,不管是在雙重驗證開啟之前,還是透過其他方式繞過了驗證,他們仍然可以在登入後修改帳號設定,包括新增轉寄規則。因此,雙重驗證和定期確認帳號設定這兩件事,針對的是不同層面的安全風險,兩者都做才能提供更完整的保護。
授予第三方應用程式存取 Gmail 的權限,這些應用程式能做到什麼程度?
這取決於你授予的權限範圍。Gmail 的第三方授權分為不同的存取層級,範圍從只能讀取特定標籤的信件,到可以讀取所有信件、傳送信件、管理信箱設定等完整權限都有可能。在你使用某個服務並透過 Google 帳號授權登入時,授權畫面通常會顯示這個應用程式要求存取的範圍,但實際上很少人會仔細閱讀這段說明。 定期到 Google 帳號的安全性頁面確認已授權的應用程式清單,是了解目前有哪些服務可以存取你信箱的唯一方式,因為授權完成後,Google 不會主動通知你這些應用程式的存取行為。
如果我使用 Google Workspace 的公司信箱,這些設定的確認方式相同嗎?
大部分的設定確認方式相同,但 Google Workspace 的帳號在某些設定上受到管理員政策的控制。例如,公司管理員可能已在後台層級限制了特定的轉寄設定,或是對第三方應用程式的授權設有額外的審核機制。 如果你使用的是公司提供的 Google Workspace 帳號,部分設定可能無法自行修改,需要透過公司的 IT 部門或系統管理員進行確認。個人的 Gmail 帳號則不受這類限制,所有設定都可以由帳號持有人自行管理。
Gmail 的信件被轉寄到外部信箱之後,原本的信件還會在我的信箱嗎?
轉寄規則的運作方式,是把信件複製一份傳送到指定的外部信箱,原本的信件仍然會保留在你的 Gmail 收件匣中,不會因為轉寄而消失。這也是為什麼這類攻擊特別難被察覺,一切看起來都和正常情況完全一樣,信件正常送達,你也可以正常閱讀,只是同時有一份副本正在傳送給攻擊者。唯一能發現這件事的方式,就是主動進入設定頁面確認轉寄規則的狀態。
One Key Takeaway: Gmail 帳號安全最容易被忽略的不是密碼,而是設定頁面裡那些幾乎從來不會被主動查看的區域,一條轉寄規則、一個過期的第三方授權,可以在密碼完全正確的情況下,讓信箱內容持續外流。