6 月份 Reddit 系统遭到黑客入侵,在该事件中,攻击者绕开了 Reddit 通过短信实现的双因认证系统,给仍在使用短信来部署双因认证的互联网服务敲响了警钟。而近日,Gmail 的双因认证系统也被攻陷。 双因认证(2FA)是一种身份认证机制,与单因认证只需要用户提供密码不同,2FA 需要用户提供两种不同的认证因子来证明自己的身份,其中一个因子是密码,另一个因子通常情况下是一个安全令牌或生物识别因子,比如指纹。 cnbeta 报导,安全专家表示,近期网络钓鱼活动日益猖獗,并且利用技术手段绕过了被 Gmail 和 Yahoo Mail 广泛使用的双因认证保护系统。 安全公司 Certfa Lab 的研究人员指出,黑客收集了攻击目标的详细信息,并利用了这些信息撰写了相应的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。 用户在虚假的 Gmail 或者 Yahoo 安全页面输入密码之后,攻击者会根据输入凭证转向到真实的登陆页面。如果目标帐户受到 2FA 的保护,则攻击者会将目标重定向到请求一次性密码的新页面,如给用户发送短信验证码。
研究人员解释,攻击者会在自己的服务器上实时检查受害者的用户名和密码,而且即使攻击目标启用了例如短信、认证 APP 或者一键式登陆的双因认证,也仍然会被欺骗并漏洞信息。 目前 Certfa Lab 发言人称他们已经证实该技术能够成功入侵基于 SMS 短信双因保护的谷歌账号,但无法确认其能否通过 Google Authenticator 或者 Duo Security 配套 APP 传输一次性密码。 |
