{"componentChunkName":"component---src-templates-blog-template-js","path":"/zh-Hant/blog/what-to-do-if-you-get-hacked","result":{"data":{"markdownRemark":{"html":"<h1>遭駭該怎麼辦？</h1>\n<p>遭到駭客入侵令人壓力山大。你可能會同時感受到困惑、焦慮與緊急感。你可能會看到陌生的登入警示、發現自己未發送的訊息、無法進入帳號、發現資金遺失，或者收到朋友通知說他們收到了你傳的可疑連結。</p>\n<p>最重要的事情是避免因慌張而做出決策。攻擊者往往仰賴你的慌亂、混亂與壓力行動。你的目標是放慢情況、控制損害、奪回掌控權，然後移除導致帳號被攻破的弱點。</p>\n<p>本指南會帶你逐步實作，當你的個人帳號、商業帳號、裝置或線上服務被駭時，應該如何處理。</p>\n<h2>1. 若工作可能受影響，立刻通知雇主</h2>\n<p>只要有任何可能影響雇主、客戶或其他組織的情況，必須馬上通知 IT 或資安相關人員。不要等到有完整證據才通報。這包含下列情境：被攻破的裝置有用於工作、被註冊為自帶裝置（BYOD）、用於存取公司電子郵件、用來做單一登入（SSO）、登入公司密碼管理器、VPN、後台管理頁面、原始碼儲存庫、雲端主控台或檔案分享服務等。</p>\n<p>這一步應該在你自行深入調查前就完成。組織可能需要撤銷登入階段、替換憑證、檢查日誌、隔離受影響系統或暫停存取，以防止事態擴大。</p>\n<p>延遲通報只會讓損害惡化，甚至讓你因延誤通報導致組織損失而負起法律或紀律責任。如果確定沒有任何商業服務、裝置、帳號或數據可能受影響，請繼續採取個人恢復步驟。</p>\n<h2>2. 從乾淨裝置開始</h2>\n<p>如果你懷疑自己的電腦或手機感染惡意程式，千萬不要用這台裝置去重設密碼或登入重要帳戶。惡意程式可能記錄你的新密碼、竊取 Session Cookie、擷取螢幕畫面、或攔截恢復碼。</p>\n<p>請使用你信任的裝置，例如：</p>\n<ul>\n<li>一台完全更新且未顯示異常徵兆的手機或電腦</li>\n<li>你信賴的家人裝置</li>\n<li>企業 IT 人員確認安全的工作用設備</li>\n</ul>\n<p>若沒有乾淨的裝置，請讓有疑慮的裝置斷網，並專注於尋求協助，在輸入新憑證前暫勿操作。</p>\n<h2>3. 優先保護你的電子郵件帳號</h2>\n<p>你的電子郵件通常是其他帳號的金鑰。如果攻擊者控制了你的信箱，就能重設你的銀行、購物、雲端儲存、社群媒體、開發平台與企業工具等帳號密碼。</p>\n<p>從你的主要電子郵件帳號開始檢查，並執行以下措施：</p>\n<ul>\n<li>更改密碼，設為全新的、獨一無二且強度高的密碼</li>\n<li>啟用多重（雙重）身分驗證（MFA），若尚未開啟</li>\n<li>檢查備用電郵與手機號碼</li>\n<li>移除你不認識的備援選項</li>\n<li>檢查轉寄規則與過濾器是否有可疑變更</li>\n<li>檢視近期登入位置與活動中的會話</li>\n<li>若平台提供，請登出所有其他裝置</li>\n</ul>\n<p>特別留意郵箱規則。有些攻擊者會設置隱藏安全警報、轉寄發票或將密碼重置信寄複製到其他信箱的過濾器。</p>\n<h2>4. 按正確順序更改密碼</h2>\n<p>完成信箱保護後，再處理其他危害性大的帳號。不要在第一個關鍵時刻將時間浪費在低風險帳號，而讓攻擊者還能操作銀行、雲端、管理工具等帳號。</p>\n<p>建議依照下列優先順序：</p>\n<ol>\n<li>電子郵件帳號</li>\n<li>銀行、支付工具和加密貨幣帳號</li>\n<li>密碼庫、身分認證商/單一登入帳號</li>\n<li>雲端硬碟、備份、檔案分享服務</li>\n<li>工作帳號、後台、主機商、開發平台</li>\n<li>社群媒體與通訊帳號</li>\n<li>購物、遊戲、論壇等低風險帳號</li>\n</ol>\n<p>每個新密碼都應該是唯一的。如果你重複使用同一新密碼，哪怕只有一個弱點留下，全部帳號將再次面臨風險。</p>\n<h2>5. 撤銷會話、裝置、應用和存取權杖</h2>\n<p>僅僅更改密碼，不保證已踢出攻擊者。多數服務在更改密碼後，已登入的 session 還是有效，除非你主動撤銷。</p>\n<p>請尋找平台中的以下設定：</p>\n<ul>\n<li>登出所有裝置</li>\n<li>活動中的會話</li>\n<li>信任的裝置</li>\n<li>已連結的應用</li>\n<li>應用密碼</li>\n<li>API 金鑰</li>\n<li>瀏覽器擴充功能</li>\n<li>OAuth 授權存取</li>\n<li>SSH 金鑰</li>\n<li>恢復碼</li>\n</ul>\n<p>將所有你不認識、未授權的項目供撤銷。若是商用/開發者帳號，請輪換 API 金鑰、部署金鑰、SSH 金鑰、Webhook 與服務帳號憑證等。</p>\n<h2>6. 開啟更強的多重身分驗證</h2>\n<p>多重身分驗證（MFA/2FA）即使在密碼失竊時，也能阻擋許多帳號盜用。如果重要帳號尚未開啟 MFA，請現在馬上啟用。</p>\n<p>優先開啟更強的驗證方式：</p>\n<ul>\n<li>實體安全金鑰</li>\n<li>身分驗證器（Authenticator）App</li>\n<li>脫機保存的備用碼</li>\n</ul>\n<p>SMS 簡訊驗證碼雖然比不上 App 或硬體金鑰，但比沒第二道防線還是好。一些攻擊者可利用 SIM 門號移轉、攔截簡訊、或利用弱帳號恢復設定突破。</p>\n<p>啟用 MFA 時，記得生出備援用的備用碼並安全保存。否則手機或安全金鑰遺失時會變成新的緊急事件。</p>\n<h2>7. 檢查財務及身分損害</h2>\n<p>如果被侵入的帳號與金錢、身分證件、發票、客戶資料或稅務資訊有關，就算很快奪回，也要假設攻擊者有機會抄下關鍵資訊。</p>\n<p>需檢查下列內容：</p>\n<ul>\n<li>銀行及信用卡交易</li>\n<li>支付應用及儲存卡片</li>\n<li>加密貨幣平台的提款紀錄及 API 金鑰</li>\n<li>購物帳戶新增加的寄送地址</li>\n<li>新增訂閱與交易紀錄</li>\n<li>信用報告或身分監控（如可用）</li>\n<li>稅務、保險或政府網站</li>\n</ul>\n<p>若發現可疑財務活動，要立刻聯絡銀行或支付商。大多情況下，越早通報，越可能追回詐騙款項或將損害降到最低。</p>\n<h2>8. 保留證據再清除</h2>\n<p>想立刻清除一切很自然，但過早刪除訊息、日誌或檔案，會讓調查更加困難。在刪除可疑項目前，先保留基本證據。特別是牽涉到金錢、公司或客戶資料、勒索軟體或法律責任時，重灌或格式化前務必要先備份證據。</p>\n<p>有價值的證據舉例如下：</p>\n<ul>\n<li>登入警示的郵件</li>\n<li>可疑帳號活動的螢幕截圖</li>\n<li>網路釣魚郵件的寄件人及標頭</li>\n<li>交易編號與發票資訊</li>\n<li>登入地點及時間</li>\n<li>未知裝置或 app 名稱</li>\n<li>支援案件編號</li>\n<li>原本的硬碟/SSD（若設備後續需鑑識分析）</li>\n</ul>\n<p>這些資訊有助於技術支援、銀行、警方、保險公司、內部 IT、資安應變小組判斷原因。</p>\n<p>若筆電/桌機允許，可考慮將原硬碟拆下保留，另外裝新硬碟重灌新系統。這樣能給你一台乾淨新機，舊資料用於調查。若為企業資安事件，務必先徵詢 IT 或資安人員意見再動手拆換或加電。</p>\n<h2>9. 從頭建立乾淨裝置</h2>\n<p>若資安事件起因於惡意程式、危險附件、假冒瀏覽器擴充、盜版軟體或不明遠端存取工具，僅僅帳號復原仍不夠。裝置本身已不再可信。駭客可能早部署後門、改系統設置、竊取 session cookie、或植入可以盜取新密碼的軟體。</p>\n<p>這時，不要花力氣手動「清理」裝置。正確做法是先保全證據，只備份絕對必要的資料，然後清除全部重灌系統。</p>\n<p>重要防範事項：</p>\n<ul>\n<li>於無感染的裝置建立安裝 USB 隨身碟</li>\n<li>僅從官方系統網站下載安裝鏡像</li>\n<li>不確定資安事件起始時間時，不要用舊備份還原</li>\n<li>僅備份必需的文件、相片，避免攜出不明可執行檔、腳本、安裝程式</li>\n<li>應用程式從可信來源重新安裝，不要全自動批次還原</li>\n<li>安裝完系統與瀏覽器後立即更新，才登入重要帳號</li>\n<li>若裝置上動過重要密碼，重灌後請再重設一次</li>\n</ul>\n<p>若遇到高風險事件（如勒索軟體、商業信箱遭冒用、管理者帳號被奪、或懷疑數據外洩），請考慮資安專業協助再動手重灌。企業案件或涉證據時，保留證據有法律、保險、或客服義務。</p>\n<h2>10. 通知可能受影響的人</h2>\n<p>如果攻擊者疑似用你的帳號發送訊息、發票、連結或檔案，請通知受影響對象，警告內容務必簡短明確。</p>\n<p>範例如下：</p>\n<blockquote>\n<p>我的帳號曾遭入侵。若於[時間]至[時間]間收到我發送的連結、附件、付款請求或共用檔案，請勿點擊。我已重奪控制權並處理中。</p>\n</blockquote>\n<p>如為企業型事件，通知常有法律或契約規定。若有客戶、員工、支付、醫療、或秘密客戶資訊可能外洩，請盡速讓法務、合規與資安團隊介入。</p>\n<h2>11. 必要時通報事件</h2>\n<p>不是所有被盜的社群帳號都要報警，但某些資安事件必須通報。這尤其適用於財務詐騙、身分竊盜、勒索軟體、商業信箱入侵、客戶資料外洩或涉及人身安全風險。</p>\n<p>以下單位可作為通報對象：</p>\n<ul>\n<li>受影響的服務商</li>\n<li>你的銀行或支付單位</li>\n<li>雇主的 IT 或資安單位</li>\n<li>當地警方或國家資安通報平臺</li>\n<li>保險公司（如有資訊安全保險）</li>\n<li>客戶、合作夥伴或監管單位（已確定或可能發生資料外洩時）</li>\n</ul>\n<p>通報的同時，也為自己留下紀錄。若詐騙持續或需證明你已即時處理，通報記錄將至關重要。</p>\n<h2>如果你經營企業，請視為資安事件處理</h2>\n<p>對企業而言，帳號被駭從來不是單純的「帳號」問題，常常只是更大型事件的表徵。信箱被攻破可能洩漏客戶往返資訊，管理者密碼盜用可造成資料外洩，部署金鑰外流可能影響生產環境。</p>\n<p>企業應變須包含：</p>\n<ul>\n<li>隔離受影響裝置與帳號</li>\n<li>儲存所有日誌避免被覆寫或刪除</li>\n<li>把關攻擊者有無存取、改動、複製或創建新資源</li>\n<li>輪替潛在曝露的密碼、API 金鑰、憑證、權杖與恢復碼</li>\n<li>檢查信箱轉寄、OAuth 應用、管理角色、新帳號</li>\n<li>清除離職員工或廠商等過期權限</li>\n<li>主動、清楚與受影響者溝通</li>\n<li>逐步紀錄整起事件與後續修正方案</li>\n</ul>\n<p>如事件涉及法規資料、客戶資料、勒索軟體、生產架構或高權限存取，越早有專業團隊介入越好。拖延只會增加損失和調查困難。</p>\n<h2>常見錯誤，應避免</h2>\n<p>有些看似積極的應對，其實會使復原難度提升或帶來新風險。</p>\n<p>應避免下列錯誤：</p>\n<ul>\n<li>延遲告知雇主/IT 部門</li>\n<li>在有疑慮的裝置上重設密碼</li>\n<li>多個帳號用同一新密碼</li>\n<li>忽略信箱轉寄規則與恢復設定</li>\n<li>忘記撤銷已存在活動 Session 與已連結應用</li>\n<li>未保留證據就刪除可疑郵件</li>\n<li>以為有 MFA 帳號就完全安全</li>\n<li>遇金融詐騙案件，數天後才聯絡銀行或服務商</li>\n</ul>\n<h2>復原後：降低再次出事機率</h2>\n<p>一旦控制住當前情況，請花時間提升你（或公司）的資訊防護。大多數帳號被駭並非高深黑客技巧所致，而是重複密碼、釣魚、弱恢復方式、惡意程式、裝置未補漏洞或放著不用的存取權肇禍。</p>\n<p>可實作的強化清單：</p>\n<ul>\n<li>每個帳號都用獨一密碼</li>\n<li>密碼存放於安全密碼管理器，而非筆記、文件或訊息</li>\n<li>電子郵件、銀行、雲端、工作與社群帳號全開啟 MFA</li>\n<li>盡可能用更強的 MFA 替代手機簡訊</li>\n<li>定期更新裝置、瀏覽器與 APP</li>\n<li>移除不用的應用、套件、連結服務</li>\n<li>每幾個月檢查帳號恢復設定</li>\n<li>備份重要文件，防止勒索軟體毀檔</li>\n<li>教導家人或員工辨識釣魚及假技術支援</li>\n</ul>\n<p>防護雖無法十全十美，一點點好習慣就能進一步移除駭客常用的攻擊管道，並緩和下次意外的損失。</p>\n<h2>最後的思考</h2>\n<p>被駭不代表你做錯了什麼。攻擊者無時無刻不在尋找目標，即便是小心使用者也可能跌倒在假冒頁面、被舊事件洩漏的密碼、或不為人知的被感染裝置上。</p>\n<p>最重要的，還是在於你的應對行動：先搶回信箱，再從乾淨裝置改密碼、撤銷會話、啟用多重驗證、防範財損、保存證據、並通知潛在受影響者。事後，進一步改善系統設定與資訊習慣，好讓未來就算再遇攻擊，風險能更快控制。</p>","frontmatter":{"date":"June 29, 2026","slug":"what-to-do-if-you-get-hacked","title":"遭駭該怎麼辦？","description":"一份實用的步驟指南，協助你控制損害、恢復帳號、保護金錢與資料，並降低再次遭駭的機率。","author":"Sascha Pfeiffer","featuredImage":null}}},"pageContext":{"slug":"what-to-do-if-you-get-hacked","lang":"zh-Hant","langPathPrefix":"/zh-Hant"}},"staticQueryHashes":["2149092236","3128451518","3192060438"]}