在上週四,有安全專家稱在近期,針對美國政府官員、活動家和記者的網絡釣魚活動日益猖獗,並且是使用了技術手段突破了被 Gmail 和 Yahoo Mail 廣泛使用的雙因素認證保護系統(2FA)。這一次釣魚事件表明了雙重認證也存在著安全問題,看似安全多使用單次登陸或者一次性密碼的 2FA 登錄方式其實並不安全,特別是通過 SMS 短信發送至用戶手機的方式。

根據安全公司 Certfa Lab 的研究人員發布的一篇博客文章表示,有伊朗政府背景的黑客攻擊者就是採取了技術手段繞過了雙重認證,攻擊者先是收集攻擊目標的詳細信息,然後根據這些信息製作了針對目標的釣魚網絡郵件,誘導用戶點擊。在郵件中有一張隱藏照片,當用戶瀏覽該信息的時候就會自動激活。讓你在一個虛假的 Gmail 或者 Yahoo 安全頁面輸入密碼,黑客就會根據輸入憑證轉向真實的登陸頁面。如果用戶使用了 2FA 的保護,那麼就會被重定向到請求一次性密碼的新頁面。

Certfa Lab 的研究人員補充道:「換句話說,他們會在自己的服務器上實時檢查受害者的用戶名稱和密碼。而且即使啟用了例如短信、認證 APP 或者一鍵式登陸的雙因素認證,仍然能夠欺騙目標並竊取這些信息。」

相關文章:黑客要脅:錄下了你打J影片,不給錢就傳給你朋友及上司

對於這個消息, Certfa Lab 發言人稱公司研究人員已經使用了該技術成功入侵基於 SMS 短信雙因素保護的賬號。但是研究人員還無法確定能否用該技術破解 Google Authenticator 或者 Duo Security 配套 APP 中傳輸一次性密碼。

_______

更多平台立即 Follow:Qooah IG (@qooah)Qooah YouTube,八掛產品發佈會現場,睇盡靚靚 Show Girls

SOURCEarstechnica

發表意見

發表意見

最新文章

安兔兔超400萬分時代,聯發科天璣9500 詳細規格

知名博主 @數碼閒聊站 曝光了聯發科新款旗艦 So...

SONY Xperia 1 VII 曝料,4K 非 21:9 mon 配 4850mAh 電池

隨著 Sony Xperia 1 VII 通過美國...

微軟產品經理都唔用 Windows,用1個鐘 Win 就頂唔順用返 Mac

近日,科技界掀起一陣熱議。微軟產品經理 Meril...

Roborock 石頭科技全面殺入香港,由掃拖機器人到全能洗地機都有

智能清潔品牌 Roborock 正式開啓香港市場部...

Nubia Z70S Ultra 攝影師版 與 Pad Pro 發佈,強勁攝影力 4000人仔起

Nubia 召開新品發佈會,推出了 Z70S Ul...