什么是双因素身份验证网络钓鱼攻击?
当你离开家时,你是否只是把灯打开以欺骗小偷认为某人的家,或者你是否锁定了所有的门窗?当你把车停好时,你是否锁定它但是打开窗户,或者你确定没有人可以进入并窃取你的个人物品?一般的常识是,我们尽一切努力使自己在物理世界中保持安全,那么为什么我们不在虚拟世界中采用相同的方法呢?幸运的是,现在越来越多的人意识到设置双因素和多因素身份验证系统的重要性。毫无疑问,那些仅使用密码/密码/密码登录其帐户的人与设置2FA或MFA的人相比风险要大得多。话虽如此,没有人可以保证完全安全。
如果您的密码暴露给攻击者,没有人可以窃取您的智能电视或者伤害您,那么后果可能比您想象的更痛苦。例如,如果攻击者设法进入您的在线银行帐户,他们可能最终会清理您的储蓄。如果他们设法劫持社交媒体配置文件,他们可能会在恶意诈骗中使用您的名字严重损害您的声誉,例如,攻击您的朋友和同事。虚拟攻击者通常依靠网络钓鱼诈骗来查找容易上当的用户和易受攻击的系统,其中一些非常复杂,甚至可能会欺骗更有经验的用户。在本报告中,我们将讨论双因素身份验证网络钓鱼诈骗及其可能产生的影响。如果您设置了2因素身份验证,并且您认为自己因此而立于不败之地,则需要阅读此报告。至少,您将了解网络钓鱼攻击是如何工作的,但我们也希望您将学习如何保护自己免受攻击。
双因素身份验证网络钓鱼攻击如何工作?
2FA不是立于不败之地已不再是新闻。就在几个月前,我们讨论了黑客如何拦截短信以窃取双因素身份验证码,从而在没有通知的情况下劫持用户的帐户。双因素网络钓鱼诈骗的工作方式非常相似:黑客试图窃取身份验证代码。为了无缝地做到这一点,他们没有提醒受害者,他们设置了虚假的网站和网页。起初,攻击者必须施放钓鱼线,他们可以使用弹出窗口,链接,广告,电子邮件和许多其他媒介来实现。当然,骗局必须从一开始就是可信的,这就是弹出,链接,广告或电子邮件消息必须具有说服力并且看起来合法的原因。这可能听起来令人困惑,但实际上,网络钓鱼诈骗是有效的,因为它们的结构很简单。
假设攻击者向您介绍的电子邮件看起来好像是从Google发送给您的。消息的界面可能与从Google收到的其他消息看起来相同,这意味着您可能会看到相同的字体,类似的配色方案,熟悉的按钮等。即使电子邮件地址可能看起来合法,但请记住它是对于有经验的阴谋家来说,假冒电子邮件地址并不难。例如,像googlesupportus@gmail.com这样的东西似乎是一个合法的地址,但它完全是假的. 如果您被欺骗与使用误导性消息发送给您的链接,按钮或附件进行交互,您可以被发送到网络钓鱼网站。这个网站 - 就像电子邮件一样 - 以欺骗用户的方式设置,因此以URL开头并以界面结尾的所有内容都可能让您感到困惑。这种网络钓鱼诈骗的目的是让你认为你是完全安全的。最后,如果您对网络钓鱼攻击的工作方式感到好奇,您必须记住一件事:信任就是一切。
在这种特殊情况下,您应该被告知您的登录凭据已被盗用,或者您需要出于某种原因进行身份验证。您最终登陆的页面应该看起来像一个真正的身份验证代码页,但事实上,它是由想要窃取它的策划者设置的。因此,例如,如果您在登录前被告知需要对Google帐户进行身份验证,则可以通过单击按钮或链接来请求身份验证代码,攻击者可能同时尝试获取进入您的真实Google帐户并在合法网站上请求相同的代码。毫无疑问,虚假网站不会发送任何代码,但是真正的双因素身份验证代码会被发送到您的手机,因为攻击者会同时请求它。由于攻击者无法访问您的手机并阅读代码,因此您会被欺骗自己披露。如果双因素身份验证网络钓鱼诈骗有效,攻击者将获取该代码并立即使用它绕过系统并劫持该帐户。
如果有些东西感觉很腥,那可能就是网络钓鱼诈骗
大多数平台在发送认证代码之前提供有限的时间。如果用户没有匆忙,攻击者可能没有足够的时间在他们的最后应用代码。如果会话过期,您可能会被告知您输入的代码不正确,发生错误或其他错误。如果您确定输入的代码是正确的,那么您需要对发生的事情持怀疑态度。这可能是你拯救自己的唯一机会。当您被要求进行身份验证时,直接访问源代码也是一个好主意。虽然在大多数情况下,策划者非常聪明,并且知道如何向您公开虚假登录页面,例如,如果您通过电子邮件发送链接,您可以直接访问网站或应用程序进行登录。不要相信随机链接,按钮和网站,否则您可能会被网络钓鱼骗局困住。
如果可能,您应该使用多因素身份验证替换双因素身份验证,因为攻击者使用简单的网络钓鱼诈骗绕过多个身份验证系统要困难得多。您还应该考虑生物识别身份验证 ,因为生物识别数据通常是攻击者无法伪造或窃取的内容;至少,还没有。当然,在您弄清楚之前,如果您的帐户被劫持,您需要首先恢复并加强其安全性。我们建议使用名为Cyclonis Password Manager的免费密码管理工具。它将帮助您生成更强大的密码来替换损坏的密码,它将加密它们以确保它们的安全性,并且它还将为您提供额外的密码保护层安全性. 如果您对该工具,密码的安全性或网络钓鱼骗局如何运作有疑问,请在下面发表评论。
