在上週四,有安全專家稱在近期,針對美國政府官員、活動家和記者的網絡釣魚活動日益猖獗,並且是使用了技術手段突破了被 Gmail 和 Yahoo Mail 廣泛使用的雙因素認證保護系統(2FA)。這一次釣魚事件表明了雙重認證也存在著安全問題,看似安全多使用單次登陸或者一次性密碼的 2FA 登錄方式其實並不安全,特別是通過 SMS 短信發送至用戶手機的方式。
根據安全公司 Certfa Lab 的研究人員發布的一篇博客文章表示,有伊朗政府背景的黑客攻擊者就是採取了技術手段繞過了雙重認證,攻擊者先是收集攻擊目標的詳細信息,然後根據這些信息製作了針對目標的釣魚網絡郵件,誘導用戶點擊。在郵件中有一張隱藏照片,當用戶瀏覽該信息的時候就會自動激活。讓你在一個虛假的 Gmail 或者 Yahoo 安全頁面輸入密碼,黑客就會根據輸入憑證轉向真實的登陸頁面。如果用戶使用了 2FA 的保護,那麼就會被重定向到請求一次性密碼的新頁面。
Certfa Lab 的研究人員補充道:「換句話說,他們會在自己的服務器上實時檢查受害者的用戶名稱和密碼。而且即使啟用了例如短信、認證 APP 或者一鍵式登陸的雙因素認證,仍然能夠欺騙目標並竊取這些信息。」
相關文章:黑客要脅:錄下了你打J影片,不給錢就傳給你朋友及上司
對於這個消息, Certfa Lab 發言人稱公司研究人員已經使用了該技術成功入侵基於 SMS 短信雙因素保護的賬號。但是研究人員還無法確定能否用該技術破解 Google Authenticator 或者 Duo Security 配套 APP 中傳輸一次性密碼。
