伊朗釣魚攻擊者被發現能繞過二步認證
安全公司Certfa研究人員報告,伊朗黑客最近針對美國政府官員、活動人士和記者的釣魚攻擊使用了能繞過二步認證的技術。這一事件凸顯了基於短信的二步認證的風險。攻擊者首先向目標發送釣魚郵件,郵件嵌入了隱藏的圖像,能在目標查看郵件時實時提醒攻擊者。
當目標在假的Gmail或Yahoo Mail登錄頁面輸入密碼,攻擊者幾乎能實時在真實的登錄頁面輸入登錄憑證。如果目標賬號受到二步認證的保護,攻擊者能將目標重定向請求一次性密碼的新頁面。黑客使用的釣魚和IP地址與伊朗政府有關聯的黑客組織Charming Kitten相關聯。
![gmail-phishing-02.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2018/1214/a73576ffdabb1fb.png?w=640&ssl=1)
![yahoo-phishing-01.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2018/1214/6aaaa5f141ec753.png?w=640&ssl=1)
![yahoo-phishing-02.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2018/1214/caec79bf61b5717.png?w=640&ssl=1)
![gmail-phishing-01.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2018/1214/dc529df13020ea1.png?w=640&ssl=1)
![](https://i0.wp.com/static.cnbetacdn.com/article/2018/12/12618f9e6502d3b.png?w=640&ssl=1)