[图]双重认证并非100%安全：新技术证实可成功入侵Gmail账号

安全公司Certfa Lab的研究人员在一篇博客文章中表示，有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息，并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片，在攻击目标浏览该信息的时候就会自动激活。

用户在虚假的Gmail或者Yahoo安全页面输入密码之后，攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护，则攻击者会将目标重定向到请求一次性密码的新页面。

Certfa Lab的研究人员写道：“换句话说，他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证，仍然能够欺骗目标并窃取这些信息。”

在一封邮件中， Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。

本文素材来自互联网