一直以來,網絡帳號的資安問題,一直是網路公司與駭客交戰的戰場。兩階段驗證,一直以來都被認為是非常有效、避免帳號被駭的工具,但是現在這招可能要畫上一個問號:伊朗駭客破解了它。
伊朗駭客破解兩階段驗證的方法:重導向去另一個頁面
安全公司CERTFA在部落格表示,這一次駭客用來破解「兩階段驗證」的方式,主要是透過假的釣魚網頁來達成。
就算用戶有開啟兩階段驗證,駭客也會「同步」開啟假的兩階段驗證網頁。當Google或Yahoo寄給你真的兩階段驗證一次性密碼,你輸入進假的兩階段驗證網頁,帳號就被盜了。
這個是假的Google登入頁面。用戶一旦輸入了自己的帳號密碼,駭客就會「即時」檢查帳號密碼的正確性(說白話點,就是直接將你輸入的帳密,拿去登錄看看)。
一旦Google出現「兩階段驗證」要求,駭客就會讓釣魚網頁也跳出兩階段驗證要求。一旦你將「真的一次性密碼」輸入進「假的兩階段驗證網頁」,你的帳號就被盜了!
這是在過去沒有見過的「同步」手法。資安公司表示,目前駭客主要是假冒Google與Yahoo,但不確定未來會不會假冒其他網站。
用戶在點擊社交網站的連結,或是電子郵件的連結時,務必要注意了!