根据安全人员透露的信息,黑客现在可以伪装成谷歌公司的技术人员,然后向用户发送虚假的短信息来骗取目标账号的双因子身份验证码,以此来获取到目标账号的访问权限。虽然在此攻击过程中,攻击者不仅需要获取目标用户的双因子身份验证码,而且还需要得到目标账号的用户名和密码,但是这两项数据可以从之前泄漏的数据库信息中获取。
Alex MacCaw是Clearbit.com的联合创始人之一,他于2016年6月5日上午7点08分更新了其Twitter状态,他在推文中写到:“请注意,黑客现在可以绕过谷歌的双因子身份验证机制来对用户进行攻击。”
首先,攻击者可以向目标用户发送类似上图所显示的短信息。这条信息可以欺骗目标用户,让用户认为这条警告信息是由谷歌公司发送过来的,因为只有当他人正在尝试登录他们的账号时,谷歌公司才会发送这样的短消息来提醒用户。当某人尝试登录用户的账号时,谷歌公司的确会发送类似的短消息来提醒用户,而攻击者所使用的虚假短信与谷歌公司官方发送的信息内容基本一致。攻击者并没有要求目标用户提供双因子身份验证码来重新获取账号的访问权限,而是要求用户提供双因子身份验证码来暂时锁定他们的账号。
然后,攻击者在输入了用户名和密码之后,只需要等待用户提供他们的双因子身份验证码即可。根据谷歌公司的要求,用户账号需要与用户的移动设备进行绑定。这样一来,用户在接收到了2FA验证码之后,只要将验证码发送给了攻击者,攻击者就可以获取到目标账号的访问权限了。目前,安全研究专家建议用户可以直接忽略所有的这类短信息,只要用户对这类短信不予理睬,攻击者仍然无法登录到用户的账号。但是,如果目标用户将他们所接收到的双因子身份验证码发送给了攻击者,那么攻击者就可以获取到目标用户电子邮箱的访问权限了。很明显,攻击者正在利用社会工程学技术来进行攻击。
据了解,这种攻击方式是由企业的内部人员发现并报告的。目前,用户可以采用以下两种主要的方法来避免受到这样的攻击。首先,除非用户当前正在进行登录操作,否则不要回复任何这样的短信息。其次,这也是最重要的一点,谷歌公司的技术人员不会要求用户提供双因子身份验证码。而且,双因子身份验证码是用来获取账号访问权限的,而不是用来锁定账号的。
目前,很多的企业都在其产品中添加了双因子身份认证机制。双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户的身份进行认证的方法。这种方法已经得到了企业的广泛采用,特别是在对数据进行远程访问时,但在其它领域应用还十分有限。双因子身份认证的推广之所以受阻,主要是由于其需要使用额外的工具,而这一条件为IT和技术支持人员带来了不小的负担。其批评者还指出,这种安全保障措施仍然很容易遭受攻击,即在非常小的时间周期内,这种技术很容易受到中间人(man-in-the-middle)攻击(这也是采用严格SSL处理的主要原因)。实际上,除了这些障碍以外,现在我们已经开始认识到,不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。
双因子身份认证是确保远程访问安全性的最佳实践方式,但是这种技术也给了一些网络犯罪分子可乘之机。如果攻击者在获取到了大量身份凭证的情况下,他们就可以伪装成合法用户,而且还可以躲避安全防护软件的检测。很多公司都认为双因子认证机制是绝对可靠的,而且也没有采取一定的安全预防措施来防御攻击者的攻击以及系统后门。