雙重認證並非100%安全:新技術證實可成功入侵Gmail賬號
安全專家上週四表示,近期針對美國政府官員、活動家和記者的網絡釣魚活動日益猖獗,並且利用技術手段繞過了被Gmail和Yahoo Mail廣泛使用的雙因素認證保護系統(2FA)。此次釣魚攻擊事件再次表明依賴單次登陸或者一次性密碼的2FA同樣存在風險,尤其是通過SMS短信發送至用戶手機的情況。
安全公司Certfa Lab的研究人員在一篇博客文章中表示,有伊朗政府背景的黑客攻擊者收集了攻擊目標的詳細信息,並利用了這些信息撰寫了針對這些目標的釣魚網絡郵件。這些郵件中包含一張隱藏照片,在攻擊目標瀏覽該信息的時候就會自動激活。
用戶在虛假的Gmail或者Yahoo安全頁面輸入密碼之後,攻擊者幾乎會根據輸入憑證轉向到真實的登陸頁面。如果目標帳戶受到2fa的保護,則攻擊者會將目標重定向到請求一次性密碼的新頁面。
Certfa Lab的研究人員寫道:“換句話說,他們會在自己的服務器上實時檢查受害者的用戶名稱和密碼。而且即使啟用了例如短信、認證APP或者一鍵式登陸的雙因素認證,仍然能夠欺騙目標並竊取這些信息。”
在一封郵件中, Certfa Lab發言人稱公司研究人員已經正式該技術能夠成功入侵基於SMS短信雙因素保護的賬號。研究人員目前無法確認這項技術能否通過Google Authenticator或者Duo Security配套APP中傳輸一次性密碼。