安全公司 Certfa Lab 最近一篇研究报告指出,有伊朗政府背景的骇客攻击者,利用钓鱼邮件,攻击一些锁定的政治家、官员及记者等特定人物,只要受害者不小心中招,他们就有机会取得这些人的 Gmail 或 Yahoo 账号,甚至就算受害者启用双因素验证机制,骇客也有解决方法。
双因素验证,指的是使用者需要透过两种以上认证机制才能得到授权使用电脑或手机资源。比方说透过输入 PIN 码是第一层,然后再来插入健保卡或凭证卡是第二层。一般网站来说,要登入会员的双因素通常是网站会员密码为第一层,然后就是手机简讯传验证码是第二层。
当然,天底下没有完美不被攻破的密码,双因素或多因素验证并不能说是完美,但至少目前来说,算是相对安全的保护机制。
那么,伊朗骇客又是怎样破解的呢?严格来说,他们并不是破解这个机制,而是绕过去。
首先,骇客会以一些耸动标题向这些特定人士发送信件,伪装成官网信件,告诉他们 Gmail、Yahoo Mail 的邮件信箱有未授权的存取活动,要求他们马上点选连结检视账号安全。
由于这些受害者都属于高敏感性的人物,因此本来就担心账号可能会被人入侵,或是本来就有被入侵的可能性,因此他们多半都会点选信中连结,检查自己的账号。
不过,这个连结就是导向骇客为他们设计的钓鱼网页。
钓鱼网页会与原始网页一样,要求会员输入密码、验证账号以便登入。且为了让受害者上钩时骇客能即时回应,用人工与受害者斗智,因此他们在信中埋了一个隐藏的图片档,用户上当的时候会立即通知骇客。
Certfa Lab 猜测,骇客用的方法是,当使用者启用双因素验证,输入验证码同时,骇客也同步收到验证码,然后到用户真正的 Gmail 或 Yahoo 信箱输入确认是否正确。且因骇客中间输入的动作,用户没察觉有异的话,基本上受害者不会知道自己邮件账号被入侵了,信箱内容会一直被人窥视。当然,因 Gmail 账号与 Google 其他服务相通,受害者如果常用 Google 服务,就等于全部被攻陷。
不过 Certfa Lab 也表示,上述步骤是依据骇客的钓鱼网页回推的猜测,他们没办法证实骇客是否真的这样做。“我们唯一能确定的,就是他们已绕过 Google 传送简讯的双重验证机制。”
双重因素验证机制不安全了吗?
虽然证实有骇客可绕过双重验证机制,不过,这表示现有的双重或多重验证机制就不安全了吗?其实也不一定。
就拿确定被骇客绕过的 Google 传送简讯验证机制来说,当你被人用钓鱼网页攻击,透过双重验证机制要求 Google 传送简讯验证码给你时,这个简讯验证码是一次性、有时效性的,通常要求你在几秒内输入。如果你时间内没有输入,简讯验证码也就没用了。因此,这段时间骇客必须同步输入,错过时间就算取得验证码也没有用。
当然上述方法理论上也可以开发一套机制由机器人代劳,扮演中间人角色,取得你的验证码。
就算如此,双重因素验证机制还有硬件验证法。比方说当你采用健保卡或其他硬件凭证卡当作身份认证机制,除非硬件验证卡有被复制的可能,否则理论来说双重因素验证机制强度还是相当高。如今年 8 月底,Google 就推出实体安全金钥 Titan,就可防止类似 Google 账号遭钓鱼网页攻击的危险。这种硬件验证机制,目前来说应该还是最安全的。
- Iranian phishers bypass 2fa protections offered by Yahoo Mail and Gmail
