双因认证又被攻陷,这次连 Gmail 也受害

h4cd
 h4cd
发布于 2018年12月20日
收藏 9

6 月份 Reddit 系统遭到黑客入侵,在该事件中,攻击者绕开了 Reddit 通过短信实现的双因认证系统,给仍在使用短信来部署双因认证的互联网服务敲响了警钟。而近日,Gmail 的双因认证系统也被攻陷。

双因认证(2FA)是一种身份认证机制,与单因认证只需要用户提供密码不同,2FA 需要用户提供两种不同的认证因子来证明自己的身份,其中一个因子是密码,另一个因子通常情况下是一个安全令牌或生物识别因子,比如指纹。

cnbeta 报导,安全专家表示,近期网络钓鱼活动日益猖獗,并且利用技术手段绕过了被 Gmail 和 Yahoo Mail 广泛使用的双因认证保护系统

安全公司 Certfa Lab 的研究人员指出,黑客收集了攻击目标的详细信息,并利用了这些信息撰写了相应的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。

用户在虚假的 Gmail 或者 Yahoo 安全页面输入密码之后,攻击者会根据输入凭证转向到真实的登陆页面。如果目标帐户受到 2FA 的保护,则攻击者会将目标重定向到请求一次性密码的新页面,如给用户发送短信验证码。


研究人员解释,攻击者会在自己的服务器上实时检查受害者的用户名和密码,而且即使攻击目标启用了例如短信、认证 APP 或者一键式登陆的双因认证,也仍然会被欺骗并泄露信息。

目前 Certfa Lab 发言人称他们已经证实该技术能够成功入侵基于 SMS 短信双因保护的谷歌账号,但无法确认其能否通过 Google Authenticator 或者 Duo Security 配套 APP 传输一次性密码。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:双因认证又被攻陷,这次连 Gmail 也受害
加载中

精彩评论

xiaolei123
xiaolei123
他妈,钓鱼网站也叫破解?神他妈破解
MindFocus
MindFocus
开源中国应该出个赞踩的功能 省得有些小编混日子
CraneH
CraneH
文章也要加个举报功能,专治这类标题党
刘建业
刘建业
根本没绕过,这个发发头条就算了,发到oschina是几个意思。交了5分钟智商税。。。小编我佛慈悲!
MindFocus
MindFocus
这叫钓鱼好么

最新评论(26

17701330501
17701330501
真他妈傻逼
砼砼
砼砼
最近流量不够了?还是年底KPI考核view?
xiongs
xiongs
钓鱼是可以绕过SMS验证的,你们不要骂小编了。你们仔细想想看。
s
smallwhite110
求支持踩赞功能!!!!!!!!!!!!!
纯洁徐
纯洁徐
这篇帖子小编的面试负责人要背锅!
MGL_TECH
MGL_TECH
这智商 这叫钓鱼好吗 还写文章呢 大哥 哪儿凉快哪儿待着吧 大家都说你我就放心了
SupNatural
SupNatural
什么垃圾新闻。
石头365
石头365
……这是在侮辱osc么
开源中国首席颈椎砖家
开源中国首席颈椎砖家
钓到用户名,密码,还要黑进用户手机,拦截短信
狂暴的蜗牛君
狂暴的蜗牛君
吓死我了 虚惊一场
返回顶部
顶部