在上週四,有安全專家稱在近期,針對美國政府官員、活動家和記者的網絡釣魚活動日益猖獗,並且是使用了技術手段突破了被 Gmail 和 Yahoo Mail 廣泛使用的雙因素認證保護系統(2FA)。這一次釣魚事件表明了雙重認證也存在著安全問題,看似安全多使用單次登陸或者一次性密碼的 2FA 登錄方式其實並不安全,特別是通過 SMS 短信發送至用戶手機的方式。

根據安全公司 Certfa Lab 的研究人員發布的一篇博客文章表示,有伊朗政府背景的黑客攻擊者就是採取了技術手段繞過了雙重認證,攻擊者先是收集攻擊目標的詳細信息,然後根據這些信息製作了針對目標的釣魚網絡郵件,誘導用戶點擊。在郵件中有一張隱藏照片,當用戶瀏覽該信息的時候就會自動激活。讓你在一個虛假的 Gmail 或者 Yahoo 安全頁面輸入密碼,黑客就會根據輸入憑證轉向真實的登陸頁面。如果用戶使用了 2FA 的保護,那麼就會被重定向到請求一次性密碼的新頁面。

Certfa Lab 的研究人員補充道:「換句話說,他們會在自己的服務器上實時檢查受害者的用戶名稱和密碼。而且即使啟用了例如短信、認證 APP 或者一鍵式登陸的雙因素認證,仍然能夠欺騙目標並竊取這些信息。」

相關文章:黑客要脅:錄下了你打J影片,不給錢就傳給你朋友及上司

對於這個消息, Certfa Lab 發言人稱公司研究人員已經使用了該技術成功入侵基於 SMS 短信雙因素保護的賬號。但是研究人員還無法確定能否用該技術破解 Google Authenticator 或者 Duo Security 配套 APP 中傳輸一次性密碼。

立即 Follow:Qooah IG (@qooah),八掛產品發佈會現場,睇盡靚靚 Show Girls

編輯推薦

發表意見

發表意見

最新文章

嘉士伯啤酒樽用紙造?100%可回收可降解

早在四年前,嘉士伯啟動了由可持續來源的木纖維製成的...

iPhone SE2 連定價都有了!!! 性價比冇得輸

據透露,Apple 一直都被指將會推出一款超高性價...

Nokia 8.2 再次曝光,可能是 Nokia 首款 5G 全屏機

現在距離 MWC 2020 還有幾個月的時間,但已...

Galaxy A91 曝光,低價高性能對抗 iPhone SE2

最近 iPhone SE2 被曝光將於明年第一季度...

小米考慮推出「惡魔頭」手機?

這從小米Mix Alpha 發布之後,引起了不小的...