【加強防守】Google計劃棄用SMS驗證碼　改用QR Code登入

有 Google 內部人士透露，Google 正計劃淘汰 Gmail 基於發送一次性 SMS 驗證碼進行多重因素驗證（MFA）的做法，改為產生 QR Code 讓用家在登入帳戶時進行驗證。雖然這種驗證手法亦非萬無一失，但卻可提升黑客向目標騙取或攔截 SMS 驗證碼的難度，減少用家帳戶被騎劫的風險。而且有跡象顯示黑客亦似乎正在順應大勢，開始探索濫用 QR Code 的可能性，用家不得不防。

服務供應商轉用其他手法

過往使用 SMS 驗證碼作為額外驗證手段被視為有效提升用家帳戶安全性的手法，但隨著黑客非法取得 SMS 驗證碼的個案愈來愈多及普遍，不少服務供應商已開始轉用其他驗證手法，包括使用實體驗證鑰匙如 Yubikey，或驗證應用程式 Microsoft Authenticator 等。

安全專家指出，黑客濫用 SMS 驗證碼的手段非常多，例如可以透過社交工程誘騙受害者洩露驗證碼，或者通過 SIM Swapping 手段暗中轉發受害者接收的驗證碼給自己，最終便可奪取受害者的帳戶。另外，亦有詐騙集團會使用 traffic pumping 的手法，誘使電訊商將 SMS 驗證碼發送至訂閱了高昂電訊服務的用家，以賺取較高的服務收費等，因此對於這次 Google 打算棄用 SMS 驗證碼的做法表示支持。

黑客改以 QR Code 發動攻擊

根據內部人士透露，未來 Google 將改用 QR Code 作為 MFA 驗證方式，在登入帳戶時，Google 會產生一個臨時 QR Code，用家只要使用自己的智能電話或其他流動裝置掃描，便可通過驗證。專家指這將顯著降低黑客誘騙用家分享驗證碼的風險，因為要分享 QR Code 會較說出或傳送驗證碼困難得多，而且這種驗證系統還可杜絕黑客通過 SIM Swapping 或 traffic pumping 去達成不同的犯罪行為。

不過，QR Code 在網絡安全方面亦非沒有弱點，近年不少黑客便濫用來發動網絡釣魚（Quishing）攻擊，例如 Trend Micro 便觀察到這類個案，黑客通過散佈偽裝成發送給受害者進行帳戶驗證的惡意 QR Code，企圖誘使對方按照指示行動如安裝惡意軟件等，由於一般用家都會使用智能電話去掃描，而手機又不如電腦，通常缺乏安全軟件保護，亦會更容易成為攻擊者的目標，而捕獲的個案便能顯示黑客正順應最新的驗證流程，調整其釣魚攻擊的策略，所以專家提醒即使服務供應商如何提升驗證技術，最終仍得依靠用家的安全意識，減低受騙風險。

資料來源：https://www.itpro.com/security/google-is-dropping-sms-authentication-for-qr-codes