安全公司Certfa研究人員報告，伊朗黑客最近針對美國政府官員、活動人士和記者的釣魚攻擊使用了能繞過二步認證的技術。這一事件凸顯了基於短信的二步認證的風險。攻擊者首先向目標發送釣魚郵件，郵件嵌入了隱藏的圖像，能在目標查看郵件時實時提醒攻擊者。

當目標在假的Gmail或Yahoo Mail登錄頁面輸入密碼，攻擊者幾乎能實時在真實的登錄頁面輸入登錄憑證。如果目標賬號受到二步認證的保護，攻擊者能將目標重定向請求一次性密碼的新頁面。黑客使用的釣魚和IP地址與伊朗政府有關聯的黑客組織Charming Kitten相關聯。