為防釣魚攻擊、被撞破密碼,用戶可選用網絡供應商提供的雙重認證功能,在登入帳戶時要用 SMS 認證碼才能登入。然而近日有伊朗黑客集團開發了最新的釣魚攻擊程式,連這個 SMS 認證碼都能成功套取,讓這個雙重認證的保安系統失效。
根據資訊保安公司「Certfa」的報告,近日網路上出現了一種全新的網路釣魚攻擊,黑客向受害人發送的電郵中埋藏了一張圖片,黑客可透過它實時知道受害人在何時接觸這封電郵。受害人輸入帳戶名稱與密碼後,黑客在背後實時使用這些資料登入。而受害人之後會被轉到輸入 SMS 認證碼的畫面,黑客可即時取得這個認證碼,突破雙重認證。
Certfa 指出,雖然他們沒有確認 Google Authenticator 等其他的保護方法能否同樣被突破,但從技術上這也是同樣可行的。而想獲得更完整的保護,用戶可考慮使用 USB Security Key,而事實上 Google 員工現在正使用 Yubico 生產的「YubiKey」登入他們的帳戶。
資料來源:Ars Technica