拍賣帳號安全指南:防盜防騙的基本功
一句話總結:拍賣帳號安全的核心就是三件事——每個平台用不同密碼、開啟雙重驗證、遇到可疑連結先停手;做到這三點,90% 的盜號風險就能有效排除。
上個月一個玩拍賣十幾年的朋友打電話來,語氣很慌:「我帳號被盜了,對方用我的帳號上了一堆假拍品,已經有三個人匯款了。」
他的帳號累積了超過 800 筆好評、好評率 99.6%,在那個平台上算是信譽頂級的賣家。結果駭客就是看上這一點——用他的高信用帳號掛出明顯低於市價的熱門商品,買家看到評價這麼好,根本沒多想就匯款了。等到朋友發現的時候,已經有人被騙了將近四萬塊。
後來花了快兩個禮拜才把帳號拿回來,期間平台把他的帳號暫時凍結,那些被騙的買家也在他的評價頁面留了一堆差評。雖然最後平台協助標註了「非本人操作」,但那段時間他什麼交易都做不了,心理壓力也很大。
根據國內刑事局的統計,2025 年拍賣相關的網路詐騙案件中,有將近 27% 是透過盜用帳號來進行的。另外一份資安報告指出,使用同一組密碼登入多個平台的使用者,帳號被入侵的風險是一般人的 4.8 倍。
這些數字不是用來嚇你的,而是想讓你知道:帳號安全這件事,真的不是「我又不是什麼大咖,誰會來盜我」這麼簡單。
最常見的盜號手法有哪些?
拍賣帳號盜號主要分為四種手法:撞庫攻擊、釣魚假網站、惡意程式植入,以及社交工程詐騙,每一種都有其獨特的攻擊路徑與應對方式。 在聊怎麼防之前,先搞清楚對方怎麼攻。知道敵人的套路,你才知道該在哪裡設防。
撞庫攻擊(Credential Stuffing)
這是目前最主流的盜號方式,原理很簡單:某個網站的帳密資料庫外洩了(這種事幾乎每個月都在發生),駭客拿到那批帳號密碼之後,就拿去其他平台一個一個試。如果你在 A 網站和 B 拍賣平台用的是同一組帳密,A 洩漏了,B 就跟著遭殃。
我那個朋友後來查出來就是這個原因。他在某個購物論壇跟拍賣平台用了一樣的 Email 和密碼,論壇那邊被駭了,拍賣帳號就跟著被撞開。
釣魚訊息和假網站
「你的拍品有人檢舉違規,請點這裡登入確認。」、「恭喜!你獲得平台回饋金 500 元,請登入領取。」——這類訊息你可能收過,它們的目的就是把你騙到一個長得跟真平台一模一樣的假網站,讓你自己把帳密輸進去。
這些釣魚網站做得越來越精緻,網址會故意用很像的域名,像是把 mybid.tw 改成 myb1d.tw 或 mybid-tw.com,不仔細看根本分不出來。
惡意程式和鍵盤記錄器
比較少見但傷害最大的一種。通常是你下載了來路不明的軟體、打開了有問題的附件,電腦就被植入了鍵盤記錄器(Keylogger),你打的每一個字都會被記錄下來送給駭客,包括你的帳號密碼。
社交工程
有些人會偽裝成平台客服、買家、或其他賣家,透過聊天取得你的信任,然後找理由要你提供帳號資訊。比方說「我是平台的安全團隊,需要確認你的帳號,請提供你的登入密碼」——正規平台的客服永遠不會跟你要密碼,記住這一點就行。
密碼管理和雙重驗證
密碼管理與雙重驗證是拍賣帳號安全的最基礎防線,每個平台使用不同的強密碼、並開啟 2FA 驗證,可以大幅降低帳號被撞庫或盜用的機率。 知道了攻擊方式,接下來就是最基本也最重要的防線。
密碼的正確觀念
先講結論:每個平台都要用不同的密碼,而且密碼要夠長夠複雜。
我知道這聽起來像廢話,但事實是大部分的帳號被盜,根本原因都是「密碼重複使用」。你可能會說「我哪記得住那麼多密碼」——所以才要用密碼管理器。
推薦幾個做法:
- 使用密碼管理器:Bitwarden(免費開源)、1Password、或瀏覽器內建的密碼管理功能都行。讓它幫你產生隨機密碼,你只要記住一組主密碼就好
- 密碼長度至少 12 個字元:越長越好,可以用一句話當密碼,像是
我家的貓叫做橘子2024!這種,又長又好記 - 不要用個人資訊當密碼:生日、電話、名字的拼音,這些都是最先被猜的
雙重驗證(2FA)一定要開
雙重驗證的意思是:就算有人知道你的密碼,登入時還需要另一個東西——通常是手機上的一次性驗證碼。這等於多加了一道鎖,密碼被偷了,帳號也不會馬上失守。
目前大部分拍賣平台都支援以下幾種方式:
- 簡訊驗證碼:最基本的,登入時發一組驗證碼到你手機,輸入才能進去
- 驗證器 App(Google Authenticator、Authy):比簡訊更安全,因為簡訊有被攔截的風險
- 硬體金鑰(YubiKey):最安全,但一般使用者用不太到
我的建議是至少開簡訊驗證,有條件的話用驗證器 App。不要覺得每次多輸一組數字很麻煩——比起帳號被盜之後的麻煩,這真的是小事。
登入通知要打開
多數平台有「異常登入通知」的功能,新裝置或新 IP 登入時會發 Email 或推播通知你。務必把這個開起來,這是你的早期預警系統。
釣魚訊息要怎麼辨別?
辨別釣魚訊息的關鍵在於:永遠先看網址而非頁面外觀、不透過訊息連結登入、對製造急迫感的通知保持警覺。 釣魚訊息是最容易中招的攻擊手法,因為它利用的是你的緊張情緒。「帳號要被停權了」、「交易出問題了」——你一急,就點下去了。
幾個辨識技巧
看網址,不要看畫面。 假網站的頁面可以做得跟真的一模一樣,但網址一定不同。點任何連結之前,先把滑鼠移上去看底部顯示的網址。如果不是你熟悉的官方域名,就不要點。
平台不會用私訊要你登入。 正規平台的系統通知不會叫你「點這裡重新登入」。如果收到這種訊息,直接開瀏覽器自己輸入平台網址登入,不要透過訊息裡的連結。
注意語氣和用詞。 釣魚訊息通常會製造急迫感:「24 小時內不處理就永久停權」、「立即驗證否則凍結帳號」。正規平台的通知語氣不會這麼激動。
檢查寄件者。 Email 的寄件者地址可以偽造,但仔細看通常會有破綻。比方說 service@mybid.tw 是真的,但 service@mybid-support.com 就是假的。
收到可疑訊息該怎麼做
- 不要點任何連結,不管訊息寫得多嚇人
- 自己開瀏覽器登入官方網站,看看帳號有沒有異常通知
- 透過官方客服管道詢問,不要用訊息裡提供的聯絡方式
- 截圖留存,如果確認是詐騙,可以回報給平台和警方
帳號被盜了該怎麼辦?
萬一真的被盜了,不要慌,但要快。每晚一分鐘,對方就多一分鐘拿你的帳號去做壞事。
第一步:改密碼
如果你還能登入,第一件事是改密碼。改完之後把所有其他裝置登出(大部分平台有「登出所有裝置」的功能)。
第二步:聯繫平台
立刻聯繫平台客服,告知帳號被盜。提供你的身份證明(通常需要註冊時的 Email、手機號碼、或身分證件),要求平台暫時凍結帳號。
第三步:通知相關人
如果帳號已經被拿去上架假拍品或發送詐騙訊息,要趕快在社群或其他管道公告「帳號被盜,近期的拍品/訊息非本人操作」,減少其他人受害。
第四步:報警
到警局或上內政部警政署 165 反詐騙專線報案。就算覺得金額不大或者帳號已經拿回來了,報案紀錄還是很重要——一方面是留下法律紀錄保護自己,另一方面你的案件資訊可能幫助警方追查到更大的犯罪網路。
第五步:善後
- 檢查帳號裡的個人資訊有沒有被竄改(收件地址、綁定的銀行帳戶、Email)
- 確認有沒有未授權的交易或訂單
- 在其他使用相同密碼的平台也一併更改密碼
- 開啟雙重驗證(如果之前沒開的話)
賣家帳號的額外風險
賣家帳號的風險遠高於買家帳號,因為累積的高評價信用、綁定的收款金流,都是駭客眼中極具價值的詐騙工具。 買家帳號被盜,損失通常是個人的——對方可能拿去買東西不付款,或者騙取賣家出貨。但賣家帳號被盜,影響範圍大得多。
高信用帳號是駭客的搖錢樹
賣家帳號通常有累積的好評和信用等級,這些在地下市場上是有價值的。一個好評率 99% 以上、交易量破千的帳號,在暗網上可以賣到幾千甚至上萬塊。買的人拿去做什麼?當然是詐騙。
這就是為什麼信用越高的賣家,越需要重視帳號安全。你的好評不只是你的資產,也是詐騙集團眼中的工具。
綁定的金流資訊
賣家帳號通常會綁定收款的銀行帳戶或電子支付帳號。帳號被盜之後,對方不只能上架假拍品,還可能竄改收款帳戶,讓不知情的買家把錢匯到駭客的帳號裡。
更嚴重的是,如果你的帳號被拿來進行詐騙交易,在釐清真相之前,你的銀行帳戶有可能被警方列為警示帳戶,連自己的錢都會暫時被凍結。
賣家應該多做的事
- 定期檢查帳號活動紀錄:有沒有不是你登入的裝置、不是你上架的拍品
- 收款帳戶設定變更要再次驗證:開啟修改金流設定時需要額外驗證的功能
- 商品範本和資料定期備份:萬一帳號被盜需要重建,至少資料不會全部消失
- 建立品牌辨識度:在社群平台經營自己的賣家品牌,萬一帳號出事,買家有其他管道確認消息
想了解更多賣家經營的知識,可以看看賣家評價系統這篇,帳號安全做好了,信用才守得住。
結語
帳號安全這件事,說穿了就是那幾個基本功:密碼不要重複用、雙重驗證打開、釣魚訊息別亂點。聽起來老生常談,但我那個被盜帳號的朋友之前也覺得「這種事不會發生在我身上」。
拍賣帳號跟你的銀行帳號性質不同,但對長期在平台上經營的人來說,那些年累積的信用和評價,某種程度上也是一種資產。保護好它,跟保護你的錢包一樣重要。
如果你對拍賣交易安全有更多疑問,推薦讀一下拍賣詐騙防範指南,裡面把各種詐騙手法和防範方式講得更細。另外,萬一真的遇到糾紛,拍賣的法律權益這篇也可以幫你了解自己有什麼法律保障。