什麼是雙因素身份驗證網絡釣魚攻擊?
當你離開家時,你是否只是把燈打開以欺騙小偷認為某人的家,或者你是否鎖定了所有的門窗?當你把車停好時,你是否鎖定它但是打開窗戶,或者你確定沒有人可以進入並竊取你的個人物品?一般的常識是,我們盡一切努力使自己在物理世界中保持安全,那麼為什麼我們不在虛擬世界中採用相同的方法呢?幸運的是,現在越來越多的人意識到設置雙因素和多因素身份驗證系統的重要性。毫無疑問,那些僅使用密碼/密碼/密碼登錄其帳戶的人與設置2FA或MFA的人相比風險要大得多。話雖如此,沒有人可以保證完全安全。
如果您的密碼暴露給攻擊者,沒有人可以竊取您的智能電視或者傷害您,那麼後果可能比您想像的更痛苦。例如,如果攻擊者設法進入您的在線銀行帳戶,他們可能最終會清理您的儲蓄。如果他們設法劫持社交媒體配置文件,他們可能會在惡意詐騙中使用您的名字嚴重損害您的聲譽,例如,攻擊您的朋友和同事。虛擬攻擊者通常依靠網絡釣魚詐騙來查找容易上當的用戶和易受攻擊的系統,其中一些非常複雜,甚至可能會欺騙更有經驗的用戶。在本報告中,我們將討論雙因素身份驗證網絡釣魚詐騙及其可能產生的影響。如果您設置了2因素身份驗證,並且您認為自己因此而立於不敗之地,則需要閱讀此報告。至少,您將了解網絡釣魚攻擊是如何工作的,但我們也希望您將學習如何保護自己免受攻擊。
雙因素身份驗證網絡釣魚攻擊如何工作?
2FA不是立於不敗之地已不再是新聞。就在幾個月前,我們討論了黑客如何攔截短信以竊取雙因素身份驗證碼,從而在沒有通知的情況下劫持用戶的帳戶。雙因素網絡釣魚詐騙的工作方式非常相似:黑客試圖竊取身份驗證代碼。為了無縫地做到這一點,他們沒有提醒受害者,他們設置了虛假的網站和網頁。起初,攻擊者必須施放釣魚線,他們可以使用彈出窗口,鏈接,廣告,電子郵件和許多其他媒介來實現。當然,騙局必須從一開始就是可信的,這就是彈出,鏈接,廣告或電子郵件消息必須具有說服力並且看起來合法的原因。這可能聽起來令人困惑,但實際上,網絡釣魚詐騙是有效的,因為它們的結構很簡單。
假設攻擊者向您介紹的電子郵件看起來好像是從Google發送給您的。消息的界面可能與從Google收到的其他消息看起來相同,這意味著您可能會看到相同的字體,類似的配色方案,熟悉的按鈕等。即使電子郵件地址可能看起來合法,但請記住它是對於有經驗的陰謀家來說,假冒電子郵件地址並不難。例如,像googlesupportus@gmail.com這樣的東西似乎是一個合法的地址,但它完全是假的. 如果您被欺騙與使用誤導性消息發送給您的鏈接,按鈕或附件進行交互,您可以被發送到網絡釣魚網站。這個網站 - 就像電子郵件一樣 - 以欺騙用戶的方式設置,因此以URL開頭並以界面結尾的所有內容都可能讓您感到困惑。這種網絡釣魚詐騙的目的是讓你認為你是完全安全的。最後,如果您對網絡釣魚攻擊的工作方式感到好奇,您必須記住一件事:信任就是一切。
在這種特殊情況下,您應該被告知您的登錄憑據已被盜用,或者您需要出於某種原因進行身份驗證。您最終登陸的頁面應該看起來像一個真正的身份驗證代碼頁,但事實上,它是由想要竊取它的策劃者設置的。因此,例如,如果您在登錄前被告知需要對Google帳戶進行身份驗證,則可以通過單擊按鈕或鏈接來請求身份驗證代碼,攻擊者可能同時嘗試獲取進入您的真實Google帳戶並在合法網站上請求相同的代碼。毫無疑問,虛假網站不會發送任何代碼,但是真正的雙因素身份驗證代碼會被發送到您的手機,因為攻擊者會同時請求它。由於攻擊者無法訪問您的手機並閱讀代碼,因此您會被欺騙自己披露。如果雙因素身份驗證網絡釣魚詐騙有效,攻擊者將獲取該代碼並立即使用它繞過系統並劫持該帳戶。
如果有些東西感覺很腥,那可能就是網絡釣魚詐騙
大多數平台在發送認證代碼之前提供有限的時間。如果用戶沒有匆忙,攻擊者可能沒有足夠的時間在他們的最後應用代碼。如果會話過期,您可能會被告知您輸入的代碼不正確,發生錯誤或其他錯誤。如果您確定輸入的代碼是正確的,那麼您需要對發生的事情持懷疑態度。這可能是你拯救自己的唯一機會。當您被要求進行身份驗證時,直接訪問源代碼也是一個好主意。雖然在大多數情況下,策劃者非常聰明,並且知道如何向您公開虛假登錄頁面,例如,如果您通過電子郵件發送鏈接,您可以直接訪問網站或應用程序進行登錄。不要相信隨機鏈接,按鈕和網站,否則您可能會被網絡釣魚騙局困住。
如果可能,您應該使用多因素身份驗證替換雙因素身份驗證,因為攻擊者使用簡單的網絡釣魚詐騙繞過多個身份驗證系統要困難得多。您還應該考慮生物識別身份驗證 ,因為生物識別數據通常是攻擊者無法偽造或竊取的內容;至少,還沒有。當然,在您弄清楚之前,如果您的帳戶被劫持,您需要首先恢復並加強其安全性。我們建議使用名為Cyclonis Password Manager的免費密碼管理工具。它將幫助您生成更強大的密碼來替換損壞的密碼,它將加密它們以確保它們的安全性,並且它還將為您提供額外的密碼保護層安全性. 如果您對該工具,密碼的安全性或網絡釣魚騙局如何運作有疑問,請在下面發表評論。
