遭到駭客入侵令人壓力山大。你可能會同時感受到困惑、焦慮與緊急感。你可能會看到陌生的登入警示、發現自己未發送的訊息、無法進入帳號、發現資金遺失,或者收到朋友通知說他們收到了你傳的可疑連結。
最重要的事情是避免因慌張而做出決策。攻擊者往往仰賴你的慌亂、混亂與壓力行動。你的目標是放慢情況、控制損害、奪回掌控權,然後移除導致帳號被攻破的弱點。
本指南會帶你逐步實作,當你的個人帳號、商業帳號、裝置或線上服務被駭時,應該如何處理。
只要有任何可能影響雇主、客戶或其他組織的情況,必須馬上通知 IT 或資安相關人員。不要等到有完整證據才通報。這包含下列情境:被攻破的裝置有用於工作、被註冊為自帶裝置(BYOD)、用於存取公司電子郵件、用來做單一登入(SSO)、登入公司密碼管理器、VPN、後台管理頁面、原始碼儲存庫、雲端主控台或檔案分享服務等。
這一步應該在你自行深入調查前就完成。組織可能需要撤銷登入階段、替換憑證、檢查日誌、隔離受影響系統或暫停存取,以防止事態擴大。
延遲通報只會讓損害惡化,甚至讓你因延誤通報導致組織損失而負起法律或紀律責任。如果確定沒有任何商業服務、裝置、帳號或數據可能受影響,請繼續採取個人恢復步驟。
如果你懷疑自己的電腦或手機感染惡意程式,千萬不要用這台裝置去重設密碼或登入重要帳戶。惡意程式可能記錄你的新密碼、竊取 Session Cookie、擷取螢幕畫面、或攔截恢復碼。
請使用你信任的裝置,例如:
若沒有乾淨的裝置,請讓有疑慮的裝置斷網,並專注於尋求協助,在輸入新憑證前暫勿操作。
你的電子郵件通常是其他帳號的金鑰。如果攻擊者控制了你的信箱,就能重設你的銀行、購物、雲端儲存、社群媒體、開發平台與企業工具等帳號密碼。
從你的主要電子郵件帳號開始檢查,並執行以下措施:
特別留意郵箱規則。有些攻擊者會設置隱藏安全警報、轉寄發票或將密碼重置信寄複製到其他信箱的過濾器。
完成信箱保護後,再處理其他危害性大的帳號。不要在第一個關鍵時刻將時間浪費在低風險帳號,而讓攻擊者還能操作銀行、雲端、管理工具等帳號。
建議依照下列優先順序:
每個新密碼都應該是唯一的。如果你重複使用同一新密碼,哪怕只有一個弱點留下,全部帳號將再次面臨風險。
僅僅更改密碼,不保證已踢出攻擊者。多數服務在更改密碼後,已登入的 session 還是有效,除非你主動撤銷。
請尋找平台中的以下設定:
將所有你不認識、未授權的項目供撤銷。若是商用/開發者帳號,請輪換 API 金鑰、部署金鑰、SSH 金鑰、Webhook 與服務帳號憑證等。
多重身分驗證(MFA/2FA)即使在密碼失竊時,也能阻擋許多帳號盜用。如果重要帳號尚未開啟 MFA,請現在馬上啟用。
優先開啟更強的驗證方式:
SMS 簡訊驗證碼雖然比不上 App 或硬體金鑰,但比沒第二道防線還是好。一些攻擊者可利用 SIM 門號移轉、攔截簡訊、或利用弱帳號恢復設定突破。
啟用 MFA 時,記得生出備援用的備用碼並安全保存。否則手機或安全金鑰遺失時會變成新的緊急事件。
如果被侵入的帳號與金錢、身分證件、發票、客戶資料或稅務資訊有關,就算很快奪回,也要假設攻擊者有機會抄下關鍵資訊。
需檢查下列內容:
若發現可疑財務活動,要立刻聯絡銀行或支付商。大多情況下,越早通報,越可能追回詐騙款項或將損害降到最低。
想立刻清除一切很自然,但過早刪除訊息、日誌或檔案,會讓調查更加困難。在刪除可疑項目前,先保留基本證據。特別是牽涉到金錢、公司或客戶資料、勒索軟體或法律責任時,重灌或格式化前務必要先備份證據。
有價值的證據舉例如下:
這些資訊有助於技術支援、銀行、警方、保險公司、內部 IT、資安應變小組判斷原因。
若筆電/桌機允許,可考慮將原硬碟拆下保留,另外裝新硬碟重灌新系統。這樣能給你一台乾淨新機,舊資料用於調查。若為企業資安事件,務必先徵詢 IT 或資安人員意見再動手拆換或加電。
若資安事件起因於惡意程式、危險附件、假冒瀏覽器擴充、盜版軟體或不明遠端存取工具,僅僅帳號復原仍不夠。裝置本身已不再可信。駭客可能早部署後門、改系統設置、竊取 session cookie、或植入可以盜取新密碼的軟體。
這時,不要花力氣手動「清理」裝置。正確做法是先保全證據,只備份絕對必要的資料,然後清除全部重灌系統。
重要防範事項:
若遇到高風險事件(如勒索軟體、商業信箱遭冒用、管理者帳號被奪、或懷疑數據外洩),請考慮資安專業協助再動手重灌。企業案件或涉證據時,保留證據有法律、保險、或客服義務。
如果攻擊者疑似用你的帳號發送訊息、發票、連結或檔案,請通知受影響對象,警告內容務必簡短明確。
範例如下:
我的帳號曾遭入侵。若於[時間]至[時間]間收到我發送的連結、附件、付款請求或共用檔案,請勿點擊。我已重奪控制權並處理中。
如為企業型事件,通知常有法律或契約規定。若有客戶、員工、支付、醫療、或秘密客戶資訊可能外洩,請盡速讓法務、合規與資安團隊介入。
不是所有被盜的社群帳號都要報警,但某些資安事件必須通報。這尤其適用於財務詐騙、身分竊盜、勒索軟體、商業信箱入侵、客戶資料外洩或涉及人身安全風險。
以下單位可作為通報對象:
通報的同時,也為自己留下紀錄。若詐騙持續或需證明你已即時處理,通報記錄將至關重要。
對企業而言,帳號被駭從來不是單純的「帳號」問題,常常只是更大型事件的表徵。信箱被攻破可能洩漏客戶往返資訊,管理者密碼盜用可造成資料外洩,部署金鑰外流可能影響生產環境。
企業應變須包含:
如事件涉及法規資料、客戶資料、勒索軟體、生產架構或高權限存取,越早有專業團隊介入越好。拖延只會增加損失和調查困難。
有些看似積極的應對,其實會使復原難度提升或帶來新風險。
應避免下列錯誤:
一旦控制住當前情況,請花時間提升你(或公司)的資訊防護。大多數帳號被駭並非高深黑客技巧所致,而是重複密碼、釣魚、弱恢復方式、惡意程式、裝置未補漏洞或放著不用的存取權肇禍。
可實作的強化清單:
防護雖無法十全十美,一點點好習慣就能進一步移除駭客常用的攻擊管道,並緩和下次意外的損失。
被駭不代表你做錯了什麼。攻擊者無時無刻不在尋找目標,即便是小心使用者也可能跌倒在假冒頁面、被舊事件洩漏的密碼、或不為人知的被感染裝置上。
最重要的,還是在於你的應對行動:先搶回信箱,再從乾淨裝置改密碼、撤銷會話、啟用多重驗證、防範財損、保存證據、並通知潛在受影響者。事後,進一步改善系統設定與資訊習慣,好讓未來就算再遇攻擊,風險能更快控制。