Google Analytics 本身沒有漏洞,真正出問題的是你的網站先被攻破。駭客接著把偷到的信用卡號、會員個資偽裝成正常的 GA 事件,透過 Measurement Protocol 送到自己架設的 GA 帳號。根據 Kaspersky Securelist 公開的資安研究報告,這種把贓物塞進受信任流量的「借道外送」手法,因為目的地是全世界都信任的 google-analytics.com,幾乎不會被防火牆攔下。說白了,病灶在網站本身,不在工具。這類事件背後牽涉的其實是整體網站經營與 SEO 的安全意識,而不只是單一工具要不要繼續用。
TL;DR: GA 沒被駭,是你的網站先失守,駭客再把側錄到的個資偽裝成 GA 流量外送(Securelist 研究),停用 GA 也救不了根因。
文章目錄
先把話講清楚:Google Analytics 本身沒有被駭
不用停。這類事件裡 GA 本身沒有漏洞,問題出在你的網站先被攻破,駭客只是借用大家信任的 GA 通道把偷到的資料外送。停用 GA 解決不了根因,反而會讓你失去一個察覺異常流量的管道。如果你還不確定 GA 到底是什麼,可以先把Google Analytics 基礎認識讀過一遍再回來,本文不重複入門定義。
什麼叫「GA 借道竊資」
用一句話定義:網頁側錄攻擊(web skimming)把偷到的個資偽裝成 GA 事件,送到駭客自己的 GA 帳號。它跟「GA 被入侵」是完全兩回事,GA 在這場攻擊裡只是個倒楣的快遞公司,被拿來當外送管道。這也為什麼我會一再強調:把焦點放在「要不要停用 GA」是放錯地方。如果你好奇 GA 正常該怎麼用,可以對照站內的 GA 流量分析基本觀念,理解它設計上本來就是個「收集事件」的工具,這正是它會被借用的原因。
這篇文章會帶你走過五段路:攻擊原理、為什麼連資安防護都難擋、五分鐘自助偵測、中招後的應變順序、長期防禦清單。每一段我都會把「你可以自己做」和「該交給資安專家」的邊界講清楚,不會叫你買一套工具就想了事。講了這麼多,你會發現真正的防線從來不是某個外掛,而是你對網站本身的理解程度,這也跟技術 SEO 強調的網站體質觀念,以及站內 SEO 重視的基礎工程,是同一件事。
這是什麼攻擊:GA 借道竊資的本質與名詞解釋
它屬於網頁側錄(web skimming,常被歸類為 Magecart 類型)的一種變形。差別在於:傳統側錄把偷到的資料送到駭客自己架的可疑伺服器,很容易被防火牆擋下;這一招則是把資料偽裝成正常的 GA 流量,送往全世界都信任的 google-analytics.com,所以幾乎不會被攔截。
三個名詞一次搞懂
- web skimming(網頁側錄):在使用者瀏覽器裡偷走表單輸入內容的攻擊總稱,結帳頁的卡號是首要目標,與關鍵字堆砌這類黑帽手法的共通點是「濫用瀏覽器信任」。
- 數位側錄:同一件事的另一個稱呼,對應實體側錄(實體提款機被裝讀卡機)。
- Magecart:最早被大量報導的側錄攻擊集團名稱,後來變成同類手法的統稱,就像「Xerox」變成影印代名詞。
為什麼「信任」是攻擊者最想要的資源?因為現代網站的資安防護,多半是建立在白名單與黑名單之上。你把 google-analytics.com 列為可信來源,等於把檢查哨放行了這個網域的所有請求。攻擊者要做的,只是把自己的資料搭上這班順風車。這跟黑帽手法濫用受信任機制的邏輯如出一轍,差別只在這次被濫用的是資料收集協定,而不是搜尋排名訊號。
| 比較項目 | 傳統側錄外送 | GA 借道外送 |
|---|---|---|
| 外送端點 | 駭客自架的可疑網域 | google-analytics.com |
| 是否被信任 | 不受信任 | 幾乎所有網站都信任 |
| 被防火牆攔截機率 | 高 | 極低 |
| 流量長相 | 異常、可疑 | 偽裝成正常 GA 事件 |
用個比喻收尾:這就像把贓物裝進外交郵袋。海關看到外交封條就放行,誰會去拆開檢查裡面裝的是不是贓物?你的防火牆面對 GA 流量,做的是同一件事。
三步驟拆解:駭客如何「借刀殺人」把 GA 變成竊資通道
三步:先攻破你的網站取得改碼權限,再在結帳頁植入會側錄表單的惡意 JavaScript,最終把偷到的信用卡號、個資偽裝成 GA 事件,透過 Measurement Protocol 送到駭客自己的 GA 帳號。整段過程在流量紀錄上看起來完全正常。這三步當中,沒有一步是在攻擊 GA 本身。
步驟一:突破防線
駭客進來的門通常不是 GA,而是你網站本身的破口。最常見的三條路:過期沒更新的 WordPress 核心、佈景或外掛、被盜的後台密碼、以及供應鏈攻擊(你信任的某個外掛本身被植入了惡意碼)。這也是為什麼一直強調要顧好WordPress 資安,而不是去責怪追蹤工具。很多站長會誤以為「我有裝防護外掛就安全」,其實過期外掛本身就是敞開的大門。
步驟二:植入惡意碼
取得改碼權限後,駭客會針對結帳頁與會員表單植入側錄腳本,專門攔截使用者輸入的卡號、姓名、安全碼。這支腳本通常是幾行 JavaScript,藏在你看不到的地方,可能是被改寫的佈景檔案,也可能藏在外掛或第三方 CDN 裡。第三方外掛越多,能藏的位置就越多,這也是為什麼我不建議無腦裝一堆外掛;安裝前先想清楚它對網站整體表現的必要性,能少裝就少裝;這跟做JavaScript 連結與索引管理一樣,多一份腳本就多一份風險。
步驟三:借道 GA 外送
偷到的資料被塞進 GA 事件的 event category、action、label 欄位,或塞進自訂維度,再透過 Measurement Protocol 發送到駭客持有的追蹤編號(Tracking ID / Measurement ID)。對伺服器紀錄來說,這就是一筆筆正常的 GA 收集請求,跟你自己網站發出的沒有兩樣。
整條鏈路的起點,從頭到尾都是「網站本身有破口」。這直接呼應了開頭那句:病灶在網站,不在工具。你把 GA 拆掉,駭客頂多換一條外送通道(例如改用其他受信任的第三方網域),但你網站被攻破的事實沒變,資料一樣會漏。
為什麼連 CSP 都擋不住:破解「白名單保護」的盲點
因為幾乎所有裝 GA 的網站,都會把 google-analytics.com 放進 CSP 白名單,而駭客外送資料用的正是同一個網域。白名單預設信任這個網域的所有請求,所以惡意流量跟正常流量混在一起,CSP 分不出來,自然擋不下。
CSP 是什麼,用白話講
內容安全策略(Content Security Policy,CSP)你可以想成網站的「白名單保全」。它告訴瀏覽器:這個網站只能從哪些網域載入腳本、圖片、資料。沒列在白名單上的,瀏覽器一律拒絕執行。這套機制對擋下陌生來源的惡意腳本很有效,這也是為什麼它常被列為容易被忽略的技術細節之一,跟網站速度、HTTPS 這類基本功同等重要。
白名單的盲點:信任被用錯地方
問題來了:你的網站要跑 GA,就非得把 google-analytics.com 放進白名單不可。這代表白名單對「任何送往這個網域的請求」都會放行,無論這個請求是你自己網站發的,還是駭客腳本偷渡的。CSP 的設計是分辨「網域」,分辨不了「同一個網域裡誰是好人誰是壞人」。
老實說,第一次聽到這招時我也覺得 CSP 形同虛設。後來想通了:不是 CSP 沒用,而是我們把「信任」這件事用錯地方。你信任 google-analytics.com 這個網域,不代表你該信任「任何送往這個網域的請求內容」。後續會講到的 SRI、WAF、主動監控,就是在補這層分辨能力。這也跟網站架構最佳化的精神一致:每一層防護都有它管得到的範圍,沒有任何一層能涵蓋全部;就像做HTTP 到 HTTPS 遷移時,加密通道只是其中一環,前端程式碼管控同樣不能少。
我會不會被盯上:中小型網站的真實風險評估
會,而且未必是衝著你來。這類攻擊高度自動化,掃到哪個網站有過期外掛或弱密碼就打哪個,跟你大小無關。只要有結帳頁、會收集信用卡或個資的站,都是潛在目標。很多中小站長有個誤解:覺得「我流量又不大,駭客懶得理我」,事實剛好相反。
自動化掃描是怎麼運作的
攻擊者會用自動化工具持續掃描整個網際網路,鎖定特定版本的外掛漏洞、預設密碼、已知弱點。它不在乎你是大公司還是個人部落格,只要你的網站符合某個特徵,就會被自動列入攻擊名單。這跟你在SEO 中毒裡看到的「駭客不挑目標,只挑漏洞」是同一個邏輯,也跟Google Safe Browsing 封鎖詐騙背後的全網掃描機制呼應:威脅是主動找上門的,不是等你曝光才來。
哪些站屬於高風險
- 有結帳頁、會直接收信用卡號的電商站
- 會員資料包含身分證字號、地址、電話的站
- 使用大量第三方外掛、長期沒更新系統的站
- 後台帳號用預設名稱 admin、密碼強度不足的站
- 串接多家金流(綠界 ECPay、藍新、超商取貨付款)的站,表單欄位越多越要注意;這類站常為了拼產品複合式搜尋結果而裝一堆結構化資料外掛,攻擊面也跟著變大
講到台灣電商場景,我必須誠實說一句:目前沒有公開的台灣本土 GA 借道竊資案件統計,我手上只有「有通報案例」這個層級的資訊,不會硬塞一個百分比嚇你。但從技術原理看,綠界、超商取貨付款這類結帳流程在使用者瀏覽器裡送出表單的那一刻,就是側錄腳本最有機會下手的瞬間。風險點不在金流商本身(他們的伺服器端防護通常很完整),而在「使用者瀏覽器到金流商之間」這一段前端。這也是為什麼前端程式碼的管控這麼重要,與網站程式碼最佳化、以及前端設計對程式碼品質的要求直接相關。
五分鐘自查:用瀏覽器開發者工具檢查網站有沒有被掛碼
有。打開 Chrome 開發者工具(F12)切到 Network 分頁,在結帳頁輸入測試資料,觀察有沒有發送到 google-analytics.com/collect 的請求,並核對 Tracking ID 是不是你自己的。再看原始碼裡有沒有不明 JavaScript 或不是你設定的 GA 追蹤碼。整個流程五分鐘內能跑完。
步驟一:檢視原始碼找可疑腳本
在結帳頁按右鍵選「檢視網頁原始碼」,搜尋 analytics、gtag、collect、UA-、G- 這幾個關鍵字。正常來說,你只該看到你自己設定的那組 GA 追蹤編號。如果出現你不認得的編號,或是多出一組追蹤碼,就要提高警覺。同時留意有沒有被壓縮成一大串、看不出用途的 JavaScript,這是惡意碼常見的偽裝方式。這套檢查也可以順手核對你的Google 官方工具設定是否被偷改,例如Site Kit by Google 接的資源有沒有被換掉。
步驟二:用 Network 分頁觀察出站請求
打開開發者工具,切到 Network(網路)分頁,篩選條件設成 collect 或 analytics。接著在結帳頁的卡號欄位輸入測試資料(千萬別用真卡號),看看送出表單的瞬間,有沒有發送到 google-analytics.com 的請求。重點觀察 payload(請求內容)裡塞了什麼:正常的 GA 事件只有頁面瀏覽、點擊這類資料,如果你看到卡號、姓名、安全碼出現在裡面,那就是中招了。這個觀察出站請求的習慣,平常也能用來檢視網站的轉換流程與使用者停留行為是否被異常腳本干擾。
步驟三:用免費線上工具輔助
除了手動檢查,也可以用第三方腳本檢查服務、URL 掃描工具輔助。這類工具會列出你的網頁載入了哪些第三方腳本,幫你發現肉眼不容易看出的可疑項目,也可以順手用WEB.DEV 或 PageSpeed Insights 看看載入了哪些資源。不過要提醒一句:這套自助流程只能抓到比較明顯、混淆得不夠徹底的惡意碼。寫得夠隱晦的側錄腳本,還是要靠專業資安掃描工具與專家才能挖出來,這不是你五分鐘能搞定的事。
| 判讀特徵 | 合法 GA 流量 | 疑似偽裝竊資流量 |
|---|---|---|
| 外送端點 | google-analytics.com | 同樣是 google-analytics.com(這正是難分辨的原因) |
| 追蹤編號 | 你自己設定的那組 | 出現你不認得的編號 |
| payload 內容 | 頁面瀏覽、點擊、捲動等行為資料 | 出現卡號、姓名、安全碼等敏感欄位 |
| 請求頻率 | 與使用者行為節奏一致 | 結帳送出瞬間集中爆發 |
真的中招怎麼辦:第一時間該做的應變順序
順序是:先下架結帳頁止血,再刪惡意碼、更換所有後台與主機密碼,接著找出駭客當初怎麼進來的並修掉那個破口,到頭來還要評估是否要通報主管機關與通知受影響使用者。只刪惡意碼卻不補破口,駭客幾天內就會再回來。
第一動:止血下架結帳頁
第一時間把網站轉成維護模式,或至少暫時關閉結帳功能,阻止資料繼續外洩。寧可少做幾天生意,也不要讓更多客戶的卡號流出來。這一步如果你有定期做網站備份,就能快速還原到乾淨版本,爭取時間做後續清理;這也是為什麼我一直強調備份要搭配轉址設定與完整的安全防護一起想,三者缺一不可。
第二動:清除惡意碼與不明追蹤碼
把找到的側錄腳本、不明 GA 追蹤碼全部移除。但要強調:這只是治標。如果你不找出入侵途徑並修掉,今天清完明天又會被塞回來。這也是為什麼我會建議,只要懷疑被植入竊資碼,清完之後立刻做下一步的補洞與換證。
第三動:找出並修補入侵破口
檢查最近裝了什麼外掛、有沒有過期沒更新的項目、後台帳號密碼是不是被盜了。這一步涉及的技術判斷較深,如果你不是工程背景,強烈建議找資安專家協助。自己亂刪檔案,有可能把網站弄壞反而更難收拾;遇到這種狀況,與其自己硬幹,不如參考挑選可信廠商的原則,找有資安背景的團隊進場協助。
第四動:更換所有相關密碼與金鑰
後台、FTP、資料庫、主機面板、金流串接金鑰,全部換掉一遍。駭客既然進來過,就有可能已經備份了你的密碼與金鑰,只改一個等於沒改。這也是為什麼建立正確的安全觀念比單純追求排名更重要,資安出事會直接吃掉你累積的信任資產,連帶影響你在 Google 眼中的信任評價,這正是E-A-T 評估標準看重的面向。
第五動:評估通報與通知義務
依台灣《資通安全管理法》與《個人資料保護法》評估你的通報義務。多數營利事業只要涉及客戶個資外洩,都有通報主管機關與通知當事人的義務,千萬不要自己悶著處理。誠實面對,反而能把商譽損害降到最低。
| 工作項目 | 你可以自己做 | 建議找資安專家 |
|---|---|---|
| 初步自查(檢視原始碼、Network 觀察) | 是 | |
| 下架結帳頁、轉維護模式 | 是 | |
| 刪除明顯惡意碼 | 視技術能力而定 | 建議 |
| 找出入侵途徑與深度清理 | 強烈建議 | |
| 更換密碼與金鑰 | 是 | |
| 法規通報與個資影響評估 | 建議(搭配法務) |
長期防禦:從 SRI、WAF 到 GTM 伺服器端的防護清單
沒有單一防護能擋住所有變形,要疊四層:保持系統與外掛更新堵住最常見的入侵點、用子資源完整性 SRI 防第三方腳本被偷改、部署網站應用程式防火牆 WAF 過濾惡意流量、並考慮改用 GTM 伺服器端模式集中管控出站追蹤碼。定期資安掃描則是兜底。
第一層:持續更新系統、佈景、外掛
這是最基本也最常被忽略的一環。絕大多數的入侵,走的是已知漏洞,而這些漏洞通常早就有了修補版本,只是站長沒裝。把系統更新當成例行工作,設定每月檢查更新清單,比裝任何防護外掛都有效;這也跟顧好核心網頁指標一樣,是會持續累積效益的基礎工程。
第二層:子資源完整性 SRI
SRI(Subresource Integrity)的原理是:你為每個第三方腳本算出一組雜湊值,寫進 HTML 裡。瀏覽器載入腳本時會重新計算雜湊,只要檔案被竄改過(哪怕只改一個位元),雜湊對不上,瀏覽器就會直接拒載。這對「第三方腳本被偷改」這類供應鏈攻擊特別有效,能補 CSP 分辨不出的那一層。
第三層:網站應用程式防火牆 WAF
WAF(Web Application Firewall)在網路層過濾注入攻擊、異常流量、已知攻擊特徵。它補的是 CSP 與 SRI 都管不到的「網站被直接打」這一塊,例如 SQL 注入、跨站腳本攻擊。不少主機服務會附基本的 WAF,選主機時值得列入考量;這也跟挑選能撐住流量的主機環境是同一件事,可以從網站整體最佳化流程的角度一起評估。
第四層:GTM 伺服器端模式
GTM 伺服器端(server-side)把追蹤碼的執行從使用者瀏覽器搬到你自己控管的伺服器。好處是出站追蹤碼集中在你手上,客戶端被亂塞碼的風險大幅降低,也比較容易審查到底送了哪些資料出去。對講究資料治理、想同時顧好使用者行為資料與自然流量品質的站來說,是值得投資的方向。
| 外送管道 | 受信任程度 | 被借道風險 | 可審查性 |
|---|---|---|---|
| GA4(Measurement Protocol /g/collect) | 高 | 中(endpoint 已換,舊教學失效) | 中 |
| 通用版 GA(UA-,/collect) | 高 | 高(網路舊教學仍多) | 中 |
| GTM 伺服器端 | 由你自訂 | 低(集中管控) | 高 |
老實說,沒有任何一套設定能保證絕對安全,資安是持續維護,不是一次到位。你能做的,是把每一層防護都裝上,並且定期回頭檢查。這跟做E-E-A-T 經營是同一個道理:信任不是一次建立的,而是長期累積與維護的結果,一旦失守就很難重建,尤其對YMYL 這類高風險主題的網站更是如此。
2026 年 AI 搜尋時代,這篇文章為什麼要重讀一次
有兩個值得注意的變化。一是 GA4 全面取代通用版 GA 後,Measurement Protocol 的 endpoint 與資料格式都換了,舊的偵測教學可能失效,要改看 /g/collect 這類新端點。二是 AI 搜尋與資安資訊越來越碎片化,攻擊手法被引用、被簡化的速度變快,自己判讀一手來源比相信摘要更重要。
GA4 時代的偵測要更新
舊版通用版 GA 雖已停用,但網路上仍大量流傳過時的「檢查 UA- 追蹤碼」指引。GA4 改用 G- 開頭的 Measurement ID,收集端點也從 /collect 轉向 /g/collect。你照著兩三年前的教學做檢查,有可能完全漏掉真正在運作的惡意請求。這也呼應了AI 搜尋時代資訊快速更新的現象:過時的資安知識跟沒做防護一樣危險,跟AI SEO 工具不斷改版是同樣的節奏。
AI 搜尋讓資安資訊流通更快,但也更容易被誤導
AI Overview、ChatGPT 這類工具會把資安事件摘要後遞給你,方便歸方便,但摘要過程常會丟失關鍵細節(例如版本差異、時間點、適用條件)。你看到「停用 GA 就安全」這種結論,很有可能是被簡化過的錯誤建議。遇到資安這種高風險判斷,回到一手來源永遠是上策,這也是面對 AI 總覽、以及理解AEO 答案引擎最佳化邏輯時該有的基本態度。
提醒一句:把本文的偵測流程當起點,而不是終點。資安手法會演化,定期回頭對照官方文件與資安研究機構(例如 Securelist、Sansec)的最新說明,才能確保你的防線跟得上。
結論:安全的核心在網站本身,而不是工具
記住一件事:工具本身可信不可信不是重點,重點是你的網站有沒有先被攻破。GA、GTM、任何受信任的第三方服務,都可能在你防線被突破時變成駭客的跳板。把資安當成持續的維護工作,而不是裝一套工具就能了結的一次性任務。
三句話行動指引給你帶走:常更新系統與外掛、定期跑自助偵測流程、中招照止血到通報的順序處理。把這三件事排進每月維護清單,比買任何防護外掛都實在。說到底,這年頭沒有哪個網站能拍胸脯說絕對安全,差別只在於你有多常回頭檢查。如果你想把網站體質一次顧好,可以從SEO 與網站維護新手教學、內部連結最佳化策略與權威 SEO 指南這類基礎工程開始,地基穩了,上層的資安防護才站得住。
常見問題 FAQ:關於 GA 遭濫用你最想問的七件事
GA 本身有漏洞嗎?
沒有。在這類事件裡,GA 本身沒有被入侵,是你的網站先被攻破,駭客才借用 GA 通道把偷到的資料外送。問題的起點永遠是網站本身的破口,而不是 GA 這個工具。想理解 GA 在正常情境下的角色,可以參考站內的 GA 流量分析基礎介紹。
該不該停用 GA?
不建議。停用 GA 救不了根因,你的網站被攻破這件事並不會因為拆掉 GA 而消失。而且停用後你會失去一個察覺異常流量的觀測管道,反而更難發現問題。正確做法是修補網站破口、疊加多層防護。
小網站會被駭客盯上嗎?
會。這類攻擊高度自動化,掃到哪個網站有過期外掛或弱密碼就打哪個,跟你大小無關。只要有結帳頁、會收集個資的站,都是潛在目標,「我太小所以安全」是常見迷思。
GA4 比舊版 GA 安全嗎?
格式變了,但借道風險仍在。GA4 改用 /g/collect 端點與 G- 開頭的 Measurement ID,只是換了外送通道的形式,原理上還是可能被用來偽裝竊資流量。重點是你的偵測流程要跟著更新,別再只檢查舊的 UA- 編號。
裝了 WAF 還會中招嗎?
有可能。WAF 補的是網路層,能擋下注入攻擊與異常流量,但前端瀏覽器裡的側錄腳本,還是要靠 SRI 與主動監控來抓。多層防護缺一不可,沒有任何一層能涵蓋全部。
中招後一定要通報嗎?
多數營利事業有通報義務。依台灣《資通安全管理法》與《個人資料保護法》,涉及客戶個資外洩時,通常必須通報主管機關並通知受影響當事人。不要自己悶著處理,誠實面對反而能把商譽損害降到最低。
一般使用者怎麼自保?
避免在來路不明或看起來可疑的網站直接刷卡,優先選擇支援 3D 驗證的卡片。留意瀏覽器的資安警告,遇到「不安全」提示就別勉強結帳。養成定期檢查信用卡帳單的習慣,發現異常交易立刻通報發卡銀行止付。
