双因认证又被攻陷,这次连 Gmail 也受害

2018年12月20日08:56:24 发表评论

6 月份 Reddit 系统遭到黑客入侵,在该事件中,攻击者绕开了 Reddit 通过短信实现的双因认证系统,给仍在使用短信来部署双因认证互联网服务敲响了警钟。而近日,Gmail 的双因认证系统也被攻陷。

双因认证(2FA)是一种身份认证机制,与单因认证只需要用户提供密码不同,2FA 需要用户提供两种不同的认证因子来证明自己的身份,其中一个因子是密码,另一个因子通常情况下是一个安全令牌或生物识别因子,比如指纹。

cnbeta 报导,安全专家表示,近期网络钓鱼活动日益猖獗,并且利用技术手段绕过了被 Gmail 和 Yahoo Mail 广泛使用的双因认证保护系统。

安全公司 Certfa Lab 的研究人员指出,黑客收集了攻击目标的详细信息,并利用了这些信息撰写了相应的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。

用户在虚假的 Gmail 或者 Yahoo 安全页面输入密码之后,攻击者会根据输入凭证转向到真实的登陆页面。如果目标帐户受到 2FA 的保护,则攻击者会将目标重定向到请求一次性密码的新页面,如给用户发送短信验证码。

双因认证又被攻陷,这次连 Gmail 也受害

研究人员解释,攻击者会在自己的服务器上实时检查受害者的用户名和密码,而且即使攻击目标启用了例如短信、认证 APP 或者一键式登陆的双因认证,也仍然会被欺骗并漏洞信息。

目前 Certfa Lab 发言人称他们已经证实该技术能够成功入侵基于 SMS 短信双因保护的谷歌账号,但无法确认其能否通过 Google Authenticator 或者 Duo Security 配套 APP 传输一次性密码。

©里维斯社,本站推荐使用的主机:阿里云腾讯云;本站推荐使用的WP主题:WordPress主题

晨会游戏

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: