來源：Google 與 Apple 官方帳戶安全性聯合通報 Facts

威脅對象：假借 Google、Apple 等大廠名義發送的假密碼與異動通知電子郵件

一、主題面向簡介

現在大家都習慣用指紋或臉部辨識來登入雲端帳號，不用背密碼非常方便。但最近國際上出現了一種非常逼真的新型詐騙郵件，駭客利用 AI 寫出完全沒有錯字、語氣非常客氣的假官方信。

這些信會假冒 Apple 或 Google 官方的名義，通知你帳號的密鑰被換了，或者警告你的帳號馬上就要被鎖起來。同仁如果心慌點了信裡面的按鈕，帳號控制權可能就會直接被駭客偷走。對抗這種假信，不需要去背每家公司的正確郵件地址。唯一的萬用判斷方法，就是點開寄件人名字，直接看小老鼠後面最後那串公司網址。只要後面不是大公司的官方名稱，就知道信是假的，這時順手開啟帳號內建的二次驗證，就能把駭客完全擋在外頭。

二、漏洞嚴重性

現在的網路犯罪，已經很少硬碰硬去猜同仁的密碼，而是直接用假信件來騙取同仁的信任。如果大家因為信件寫得很客氣就相信它，下一步點了連結，就很可能落入帳號被整盤捧走的陷阱。

個人的雲端帳號如果不小心被駭客登入，不只私人的照片、聊天紀錄會被看光，如果平時在公務電腦上有混用帳戶的習慣，可能還會連帶影響到學校經手的各類檔案。如果帳號只靠一組密碼在保護，在 AI 假信件面前就像沒鎖門一樣危險。我們必須學會用最簡單的方法看穿假信，並且把帳號的「二次驗證」功能全部開起來。當每次登入都需要手機實體確認時，駭客就算用 AI 把信件寫得再逼真，也絕對跨不過這道防線，這才是維持教學順暢、保護學生數據隱私的最好作法。

三、同仁怎麼做（萬用官方信件真偽辨識與提高 MFA 三招行動指引）

● 第一招：直接看小老鼠後面的英文字

同仁收到任何自稱是官方發出的密鑰變更通知、或帳號異常警告信時，請死守一個鐵律：絕對不要點信件裡的任何連結和按鈕。請直接用滑鼠點開寄件人名稱，不看前面顯示的名字，只看小老鼠符號正後方的核心英文名稱。

真正的 Apple 官方信件，小老鼠後面必定是真實的 apple.com 真正的 Google 官方信件，小老鼠後面必定是真實的 google.com

萬用防呆判斷標準： 如果看到顯示名字寫著 Apple 安全中心，但點開後面的郵件地址，小老鼠後面卻是寫著 gmail.com，或者是莫名其妙的其它英文雜牌網址，這就表示信件 100% 是駭客假冒的。請安心直接把信刪掉，千萬不要被信裡的文字嚇到了。

● 第二招：繞過信件按鈕，親自盤點五大安全武器

當同仁透過第一招看穿假信、確定自己的帳號好端端的時候，建議順手手動登入自己的官方帳戶（例如 Google 帳戶後台），看看自己啟用了哪些二次驗證方式，把防禦安全開到最大：

1. 提示驗證：這是最簡單的方法。只要有人試圖登入你的帳戶，你的手機就會跳出提示，同仁必須在手機上親自點擊確認，才能允許登入。

2. 驗證器應用程式：安全性非常高。在手機下載官方驗證器 App，就算手機完全沒有網路、沒有訊號，它也能每 30 秒自動產生一組動態密碼，讓遠端的駭客完全無法闖入。

3. 備用碼：系統會預先給你 10 組一次性的密碼。同仁可以把它列印或用紙筆抄下來放好，當手機弄丟或在偏遠地區沒訊號時，可以用它來緊急登入。

4. 安全性金鑰：防護力最高。這是一種實體的身分識別工具，每次登入都需要把這個專用的隨身碟插在電腦上，或是用手機感應。駭客因為人在遠端、拿不到你的實體鑰匙，所以絕對進不去。

5. 語音或文字訊息：最普遍的作法。綁定自己的行動電話門號，登入時透過簡訊來接收 6 位數的一次性驗證碼。同仁可以看看自己開了哪幾項，如果發現全部都顯示未設定，請務必至少開啟一到兩種來保護帳號。

● 第三招（行政流程鐵律｜多重管道實質照會求證）

同仁如果依據前面的方法還是看不太懂、不確定那封信到底是不是官方寄的，或者是自己的手機在生活中突然莫名其妙、一直瘋狂跳出二次驗證的確認視窗時，請務必保持冷靜。

這時候絕對不要點擊同意，也絕對不要撥打信件內文裡提供的任何客服電話。請直接關閉郵件與視窗，並拿起辦公桌分機直接撥給資訊小組進行業務核對，或是在日常生活中親自登入官方獨立的支援網站進行求證。透過這些多重管道的實質照會，就能一秒戳破駭客的假面具，如有必要可撥打 165 反詐騙專線或致電主管機關求證，用最簡單的求證行為，守護全校的數位環境與親師信任。