网络安全专家警告全球18亿Gmail用户,有一种新型恶意攻击软件可以有效绕开双重身份验证(2FA)的防线,窃取用户账号资料。
双重身份验证是线上账号的一道安全防护,用户在登录线上账号之前,要先输入从手机或电邮收到的接入码(access code)。
《每日邮报》报道,黑客现在针对双重身份验证制造出名为Astaroth恶意攻击工具,诱导受害者访问假的Gmail登录页面,实时窃取账号密码等信息,再输入到真正的Gmail页面,然后发送2FA给受害者。
受害者通过手机或邮件收到2FA代码,再输入到假Gmail页面后,就会被Astaroth实时窃取,让黑客成功登录受害者的Gmail。
由于假网页不会跳出任何安全警示,因此受害者不会轻易察觉。唯一能避免网络钓鱼攻击的方法,就是不要点击任何可疑链接。
Astaroth的操作方式就好像黑客的中介,可以实时窃取账号和密码、2FA代码,以及浏览器文件(session cookies)。
除了钓鱼软件,出售Astaroth的暗网卖家还提供半年的软件更新服务,让黑客技术“领先”于网络安全技术。
网络安全专家警告说,黑客此次可能瞄准数十亿的电邮用户,以及使用第三方服务登录账号的人。
