這個案例很明顯是針對性攻擊了

遭假冒 Google 電話、偽造 Google 郵件與驗證同步詐騙，損失 13 萬美元 https://bewildered.substack.com/p/i-was-scammed-out-of-130000-and-google

作者敘述自己在 6 月 19 日接到一通來自「Google 支援」的電話，對方聲稱有人提交了死亡證明與身分證件，企圖接管他的 Google 帳號。雖然起初心存懷疑，但對方隨後寄來一封看似來自 legal@google.com 的官方郵件，讓他逐漸相信這是真的。在 iOS 的 Gmail 應用程式裡，該郵件看起來完全合法：有案號、有完整品牌設計，寄件欄也顯示為 @google.com。對方進一步要求他「念回一組驗證碼」，以確認他「還活著」，在驚慌之下他照做了，也就此被駭入帳號。

攻擊者因此取得了他整個 Google 帳戶的存取權，包括 Gmail、Drive、相簿，以及最致命的 Google Authenticator 雲端同步驗證碼。由於 Google 已經預設開啟 Authenticator 的雲端同步，這組資料也在駭客手中形成「萬能鑰匙」。駭客迅速入侵他在 Coinbase 的加密貨幣帳號，僅僅 40 分鐘就透過多筆交易轉出並清空他抵押的 ETH 與其他代幣，按當時價值計算損失超過 8 萬美元，換算今日約 13 萬美元。作者自承明知「驗證碼不可洩漏」，自己也在科技產業設計身份驗證系統，卻仍在恐慌情境下中招。他認為 Google 的機制設計放大了個人錯誤，例如 iOS Gmail 無法檢視完整郵件標頭、Authenticator 預設雲端同步，才使一場失誤演變成重大崩盤。

在 Hacker News 的討論中，許多人指出這凸顯了加密貨幣環境的脆弱性：一旦資產被轉走就無法追回，和銀行帳戶不同。部分人批評作者將高達六位數美元價值的資產存在 Coinbase 這類熱錢包過於冒險。如果使用硬體金鑰 Yubikey 或冷錢包，問題可能立刻避免。此外，也有人討論到郵件安全協議，如 SPF、DKIM、DMARC 本應能防堵寄件位址偽造，但 Gmail 在某些 UI/UX 設計下讓使用者無法輕易檢查真實來源，使得 phishing 更容易成功。有評論補充，信任任何來電客服本身就是巨大紅旗，因為要真正聯絡 Google 支援幾乎不可能。

另一個爭議焦點是 Google Authenticator 的雲端同步機制。許多用戶誤解為是「預設啟用」，一些人指正其實需要使用者同意，但不論如何，都可能導致第二驗證因子與第一因子同時落入 Google 帳號之下，等於失去「雙重驗證」的意義。多位工程師提醒，若所有登入憑證（密碼與 TOTP）都與同一帳號綁定，入侵一次就全數失守。有人論及解決方式包括分開使用 email 與金融服務帳號、採用獨立的 2FA 應用程式，甚至完全停用雲端同步。

最後，社群普遍認為這起事件兼具警惕意義：在人為壓力和驚慌環境下，再有專業背景的人也會犯錯。多年來相同的詐騙手法依舊奏效，反映系統層面缺乏更強韌的防護設計。對於普通使用者，最實際的建議是避免在電話或郵件互動中提供任何驗證碼，遇到不明來電務必掛斷並改由官方管道再確認，關鍵金融資產應分散存放並採用更嚴格的安全硬體工具，否則一個失誤就可能造成終生難以彌補的損失。

https://news.ycombinator.com/item?id=45264726