不是我遇到,是我的客戶遇到。如果你也遇到,先參考這個影片進行處理。
下面是帳號被盜用的過程,並整理為什麼有開二階段認證還是會被盜用的原因。
還有那要怎麼做才能盡量避免這樣的狀況發生,或怎樣做才有機會儘快救回帳號的方式。
1.YouTube帳號被盜
整個事情是發生在3/13早上。
早上客戶跟我說他的帳號被盜的時候,我趕快去看YouTube,結果在我的帳號底下該頻道已經消失了。當初我是用品牌帳號去做設定,所以我趕快在看品牌帳號,我點選「查看帳戶個人資料」的時候,他導去「您的品牌帳戶已停用」的訊息
如果是正常的品牌帳戶,點擊「查看帳戶個人資料」會看到的是這樣的畫面
駭客是直接把帳號轉成個人帳號,跟品牌帳號已經失去連結,所以即使我在品牌帳號裡面還是管理員,但沒有用,我已經沒辦法去管YT帳號了。
客戶通知我的時候,我趕快去找相關資料,也就是開頭的那支影片。又正好以前就有幫客戶註冊過twitter帳號(現在的x),所以就直接用既有的帳號找YouTube在x上的官方帳號,@他們說明這個狀況。後面就由客戶繼續跟YouTube那裡聯繫,過程也正如開頭那支影片所述。
2.gmail帳號被盜的過程
我比較有疑問的是有開二階段為什麼還是被繞開?
我上網找到這支影片,應該算是技術面講的最詳細的一個
影片有很詳細的解釋。擷取他的內容簡單來說:
駭客透過木馬(可能是電腦安裝的軟體內有木馬,或是被騙點擊了什麼連結,連結本身就是下載了木馬之類的),偷取電腦 Session cookie 。這個東西他不是帳號密碼,而是記錄已經透過帳號密碼登入的狀態。以後遠端的服務只要看到 Session cookie ,就會認定你已經登入服務了,就不會再要你輸入帳號密碼。
以下是這個盜用過程的圖說:
然後木馬入侵後,駭客從登入gmail做的所有操作。都會觸發gmail的安全提示信件,事後查看備援信箱收到的安全提示有好幾封,一直到最後備援電子郵件也被改掉。整個操作在2分鐘內完成。
然後我注意到的是他第一封信是先去產生兩步驟驗證碼。而不是先去改手機。我後來自己測試結果是如果有開二階段驗證,但是手機有問題沒辦法用,可以選擇用其他方法,然後裡面就有一個所謂備用碼的方案。
所以駭客要先用這個方案產生備用碼,然後用備用碼登入的方式繞開手機完成「他搶走帳號的第一次二階段登入」。google會認為你可能是舊的手機不能用了,所以才用備用碼登入。後面才能繼續改手機跟備用信箱。不然他如果拿到帳號直接要改手機或備用信箱,google可能每次要改都要求他再輸入密碼,這樣他就改不動,因為他盜用的是 Session cookie ,當下卻不一定有破解密碼。當他都改完之後,gmail就整個被搶走了
3.Youtube頻道被盜申訴過程
請參考開頭的影片。他已經寫的很詳細了。大致流程是
a.透過x.com跟Youtube官方申訴
https://x.com/teamyoutube
b.Youtube官方受理後會DM私訊跟你聯繫
請備妥一個新的信箱或是直接使用你當初填寫的備援信箱,YT會透過私訊請你做一些操作確認身分,最後提供一份表單,請你填寫關於頻道的種種資訊。
c.等待Youtube官方後續處理
後續官方會跟你用你的新mail聯繫,就照著提供資訊進行操作跟回報。客戶的頻道跟gmail帳號3/14被盜後,在3/17成功拿回來。總計5天。若扣除六日兩天,約3個工作天處理完畢。我覺得可能現在這種案例很多,加上是已經有營利的頻道被盜,所以客服受理速度算很快了。
這裡建議大家有YouTube頻道的,請先記錄下來的資訊,以防哪天真的不幸遇到一樣的事情,有這些資料可以讓你在中間需要填寫表單的時候比較順利。
1.頻道ID:進入到創作者工作室,看網址,channel/後面那串就是頻道ID
2.AdSense ID:如果你已經有營利了,也就是已經加入合作夥伴計畫。
到創作者工作室,左邊點選「營利」畫面右邊會看到這段,ID後面那串就是AdSense ID
3.頻道的成立時間:到YouTube自己的頻道首頁,點關於,跳出的小框框最下面有加入時間。
如何避免gmail被盜?
- 注意釣魚信件:每個要你點link或是檔案,都要小心再小心,沒必要點的就不要點
- 少用破解軟體:因為大多數破解方式裡面都會包木馬
- 如果你有下載東西,點開安裝後沒反應失敗,就要小心,你可能已經中木馬了。
但如果是 Session cookie 被攔截的話,即使不使用瀏覽器的記憶密碼也沒用。因為只要電腦是在「gmail登入的狀態下被駭」,那 Session cookie 被攔截,木馬內建的小瀏覽器就可以用你的 Session cookie 繼續登入狀態去執行他想做的事。這種盜法是你的電腦有幾個gmail在有木馬的電腦上「已登入」,那他就可以盜走幾個。
所以接下來的問題應該是:
如果真的被盜,除了去x.com的YouTube官方申訴,有沒有其他救援管道?
如果事前有做這兩件事,就有很大機會透過google申訴成功取回帳號,或是可以比較快的以改掉密碼的方式把帳號搶回來。就是:
1.設定「備援電子郵件」+「備用電子郵件」。
2.備援信箱平常在電腦上保持不登入的狀態
為什麼要設定「備援電子郵件」+「備用電子郵件」?
google的「備援電子郵件」跟「備用電子郵件」其實是兩個完全不同的概念。
「備援電子郵件」單純是如果今天有帳戶登入異常,他除了發信到原本的信箱,也會發信到這個信箱。並且建議你如果主要信箱有問題,那就改用備援電子信箱跟官方聯繫看有沒有機會救回原帳號。但只能被動聯繫。
這次客戶的狀況是原信箱被盜,備援電子信箱沒有被盜(我也請客戶馬上用手機先把備援信箱密碼改掉,免得也被盜)。所以他直接用備援電子信箱做後續的聯繫。但因為連同YouTube頻道一起被盜用,所以是走去x.com聯繫官方YouTube的方式處理。
如果你主帳號被盜用,但你沒有YouTube頻道,而備援帳號還可以正常使用的狀況下。請參考此頁 google 官方說明
https://support.google.com/accounts/answer/7299973?sjid=4223814758363584429-NC
透過裡面的表單去申請帳號救援。
設定「備援電子郵件」的好處是Google要判定你是本人都會相對容易,因為你的備援信箱資料是對的上的。但如果沒有「備援電子郵件」,或是連「備援電子郵件」都被盜了,然後你也沒有經營YouTube帳號的話,那很有可能這些帳號就真的完全沒機會再拿回來了。
像上面解釋盜用流程那支影片,作者电丸科技AK遇到的狀況就是他所有gmail都被盜了(也就是他電腦上所有帳戶都是在登入狀態,Session cookie全數被攔截),看起來包含了他的備援帳號。以至於他必須另外註冊新的帳號,然後在一開始申訴的時候就被告知帳號拿不回來,就是因為是全新帳號無法證明你是本人。只是他因為同時也是YouTuber,也有保留他頻道的相關資訊,所以後來是透過YouTube頻道那端的申訴窗口去拿回帳號。
而「備用電子郵件」的概念則是除了可以收到相關安全通知外。「備用電子郵件」+ 你gmail的密碼,是可以登入你的gmail信箱的,也可以透過這個信箱重設密碼!
我這裡用別的帳號測試過,先在帳號輸入「備用電子郵件」,系統會發一封驗證碼的信到你的信箱,把驗證碼回填後,如果是帳號被到要改密碼,就可以按「忘記密碼」然後把密碼改掉。過程他會問你之前你記憶中的密碼是什麼,輸入之後只要他核對符合原密碼,你就可以更改密碼,在最短時間把帳號搶回來。
但這裡也有一個前提,你使用這個方式要把密碼改掉搶回帳號時,切記,不要使用已經中木馬的設備!最好改用別的電腦,或使用手機操作。不然等於把這個資訊的 Session cookie 再度送給駭客。
「備用電子郵件」的官方說明可參考此網址
https://support.google.com/accounts/answer/176347?sjid=4223814758363584429-NC
為什麼備援信箱平常在電腦上要保持不登入的狀態?
因為駭客偷取你帳號的方式是透過偷 Session cookie 的方式。如果你的備援信箱在同一個電腦也登入,那一起被盜走一起被修改。你只能重新註冊新的帳號的時候,就很難去跟 google 官方證明你是原來的那個人。但如果你的備援信箱只有在要用的時候登入,不用的時候不登。那假設木馬入侵的當下你的備援信箱沒有登入,就不致於一起被盜走(但是當然,如果你原本沒登入,在木馬還沒移除的狀況下,又去用電腦登入備援信箱,那你的備援信箱也可能會再被盜走)。
然後建議備援信箱平常只保持在手機上登入。因為這樣有安全通知你才收的到。目前駭客的木馬主要是以入侵windows為主。所以才建議電腦上備援信箱不要保持登入狀態,有需要用才登入。