雙因素認證(簡稱2FA)是當前主流在線服務的重要安全措施之一,從銀行到Google,從Facebook到政府機構都逐漸采用了這項安全措施。在雙因素認證保護賬號需求進行登錄操作的時候需要輸入以SMS短信發送的驗證碼,否則即使在輸入正確的密碼也會被系統所阻止。
在本周末,Clearbit.com的聯合創始人Alex MacCaw在個人推特上分享了他近日收到的一條短信。匿名攻擊者相MacCaw發送了一條冒充Google的SMS短信,信息內容如下:
(Google 通知)我們近期注意到來自IP地址136.91.38.203(加州瓦卡維爾)嘗試登錄[email protected]賬號的可疑行為。如果你并未在上述地址進行過登陸,將會暫時鎖定你的賬號。請回復你接收到的六位驗證碼,如果你確認識別這次登陸,請忽略這個警告。
基本上,攻擊者欺詐受害人接收雙因素認證識識別碼,以便于為隨后進行的非法登錄嘗試做準備。這種欺詐手段通常已經獲得了MacCaw的賬號密碼,而如果消費者錯認為這是雙因素系統鎖定賬號的操作,將六位驗證碼發送給Google,其實MacCaw的發送對象是欺詐者,后者就能進入登陸頁面訪問他的賬號。
京公網安備 11010502049343號