IT業界資訊媒體

【小心!】網路釣魚可以攻破 Gmail 雙重認證

用咗雙重認證就萬無一失?別傻了。最近連國際特赦組織都出帖文,而且係技術文章,交代黑客如何利用網路釣魚繞過 Gmail 雙重認證。

科技發展與人權其實有非常密切關係,因此,國際特赦組織(Amnesty International)亦有專屬部門關注網絡安全的問題。最近,國際特赦組織發現越來越多人權護衛者(Human Rights Defenders)對網路釣魚深感憂慮,更發表了一份黑客利用網路釣魚攻破雙重認證嘅報告。

網路釣魚一直是網絡攻擊嘅重災區,不少機構、組織會相信選用「大牌子」電郵服務比較穩陣,亦有機構選用聲稱較安全嘅服務如 Tutanota ProtonMail。報告指出,這些服務都未必能百份百保障用戶,就算用上雙重認證( 2FATwo-Factor Authentication),仍有機會被黑客利用網路釣魚攻破,全程自動化。

其方法並不複雜,黑客先向受害者發出釣魚電郵,聲稱用戶帳嘅出問題,要求更改密碼,誘導受害者登入虛假網站。受害者如果中計輸入資料,釣魚網站就會開啟另一個釣魚頁面,通知受害者會啟動「雙重認證」,而這個認證亦是釣魚攻擊的一部份。因為釣魚網站會同步代受害者發出真的「雙重認證」要求,但受害人收到真認證碼後,卻將之輸入釣魚網站,此時黑客已成功盜取認證及權限,控制帳號。

網路釣魚一般會用幾可亂真的方法,引導受害者登入惡意網站,,然後俏俏盜取用戶密碼及權限。事實上,雙重認證雖然可以提高黑客犯罪的門檻,不過仍有高手想盡辦法繞過,大家真係要小心。

資料來源:http://bit.ly/2T1I3Rt