如果您有 Gmail 帳戶,您也可以啟用雙重認證以防止入侵。這意味著,為了識別您的身份,您需要使用透過簡訊接收或由 Google 身份驗證器行動應用程式產生的第二個代碼來完成密碼輸入。這非常好,但這並不意味著您必須完全放鬆警惕,因為有可能繞過此安全設備。駭客正在積極研究這個問題。
公民實驗室研究實驗室剛剛發布了一份關於一系列針對伊朗僑民和公民權利活動人士的攻擊的報告。這些例子表明,為了誘騙目標,駭客不得不絞盡腦汁。事實上,他們必須掌握的不是一個代碼,而是兩個。此外,由於第二個代碼的生命週期很短,因此這種攔截必須在使用者想要連接的那一刻發生。
即時網路釣魚和攔截
為了實現這一目標,公民實驗室描述的駭客創建了虛假的 Google 網站,並使用各種網路釣魚技術誘騙受害者連接到這些網站。因此,他們透過電子郵件收到了虛假警報,表明有一次連接嘗試,其中包含登入並快速更改密碼的連結。另一種方法:以有趣的項目或新聞採訪為藉口,透過電子郵件發送指向 Google Drive 文件的連結。在後一種情況下,發送之前會先打電話,以提高信任程度。
如果受害者上當並點擊該鏈接,他們會發現自己被重定向到一個冒充 Google 的網站並顯示一個虛假的登錄頁面。用戶輸入密碼。這被攻擊者攔截,攻擊者立即登入真實的 Google 帳戶,產生第二個程式碼的發送。然後,使用者輸入第二個程式碼,攻擊者將再次立即在真實的 Google 頁面上輸入程式碼。賓果遊戲,海盜贏了!
只要您非常細心,完全有可能阻止這些攻擊。有時,虛假電子郵件包含錯誤或不一致。警報訊息將“伊朗”列為連接源,而不僅僅是“伊朗”。就其本身而言,訪談建議中提到的是「Reutures」而不是「Reuters」。
接下來,您需要檢查寄件者的電子郵件地址。在其中一個案例中,攻擊者表示“[電子郵件受保護]”,將 Google 中的“g”替換為“q”。相當微妙,因為電子郵件地址通常帶有下劃線。最後,應該有系統地驗證登入頁面的 URL。如果沒有著名的小掛鎖,並且地址不是指向“accounts.google.com”,那麼這是一個騙局。
若要在您的 Google 帳戶中啟用雙重認證,您必須登入https://myaccount.google.com,然後點選「使用 Google 登入」和「兩步驟驗證」。
