标签: 双重认证

双重认证并非 100% 安全:新技术证实可成功入侵 Gmail 账号

安全专家上周四表示,近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗,并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统(2FA)。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险,尤其是通过SMS短信发送至用户手机的情况。 安全公司Certfa Lab的研究人员在一篇博客文章中表示,有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息,并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。 用户在虚假的Gmail或者Yahoo安全页面输入密码之后,攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护,则攻击者会将目标重定向到请求一次性密码的新页面。 Certfa Lab的研究人员写道:“换句话说,他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证,仍然能够欺骗目标并窃取这些信息。” 在一封邮件中, Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。   稿源:cnBeta,封面源自网络;

苹果回应账户被盗刷:深表歉意 建议开启双重认证

网易科技讯 10月16日消息,针对“苹果用户账户出现集体被盗刷的情况,数量预计超过700人”,苹果回应称,第一时间组织了工程师来寻找事件的根源。苹果调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,苹果发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 苹果称已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。 因网络钓鱼诈骗给用户带来的不便,苹果深表歉意。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。 以下是声明全文 媒体声明 我们非常重视中国消费者,希望确保他们拥有最佳的产品体验。针对消费者报告的有关网络钓鱼诈骗和Apple ID盗刷事件我们进行了调查,在此,我们想就尚在进行中的调查给出一个说明。 当我们了解到这些事件后,第一时间组织了Apple工程师来寻找事件的根源。消费者的隐私和安全对我们来说至关重要。我们的调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,我们发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 我们已经采取了多种措施来保护我们的用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,我们拒绝了高风险的订单。由于我们的持续努力,我们已经注意到这些问题现已显著减少。 因网络钓鱼诈骗给用户带来的不便,我们深表歉意。我们正主动识别可疑活动,并与受影响的用户取得联系。我们强烈建议所有用户开启双重认证,以防止未经授权的访问。 同时,我们正与相关消费者保护组织保持沟通,并倾听用户对这些措施的反馈。如需了解有关 “安全性和Apple ID” 的更多信息,可随时访问:访问:https://support.apple.com/zh-cn/HT201303,或联系,或联系AppleCare进一步了解相关问题。   稿源:网易科技,封面源自网络;

短信不安全,Instagram 正在开发独立的双重认证功能

黑客可以把你的电话号码复制到一张新的 SIM 卡上,从而将你的号码据为己有,用来重置你的密码,窃取你的 Instagram 和其他服务的账号,并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样,Instagram 账号特别容易受到攻击,因为该应用仅支持通过短信验证码登录,一旦电话号码被劫持,相关账户的安全性立刻将为零。 不过,现在 Instagram 向 TechCrunch 证实,他们正在开发一套配合 Google Authenticator 或 Duo(注:不是谷歌的聊天工具)这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示,这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。 多次向 TechCrunch 爆料的消息人士黄文津(Jane Manchun Wong)通过分析 Instagram 的安卓应用发现,其 APK 代码中暗藏着升级版双重认证的原型。在此之前,黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。 当 TechCrunch 将截图展示给 Instagram 时,后者的一位发言人说,没错,他们正在打造一项非短信双重认证,并称:“我们正在持续提升 Instagram 账号的安全性,其中就包括强化双重认证功能。” Instagram 其实对用户账户保护一直不算特别上心,直到 2016 年才推出基于短信的两步验证,当时他们已经拥有 4 亿用户。在 2015 年 11 月,笔者写过一篇题为“说真的,Instagram 需要双重认证 ”的文章。蕾切尔·赖尔(Rachel Ryle)是笔者的一位朋友,她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷,这令她错失了一笔利润丰厚的赞助交易。Instagram 从善如流,在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。 但从那时起,SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商,使用一些社工手段冒充你的身份,或者贿赂内部员工来获取帮助,然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样,黑客这样做可能是为了窃取你的私密照片,偷光你的加密货币钱包,或者是转卖@t 或@Rainbow 这样的社交媒体靓号,总之他们有各种各样的动机去实施 SIM 卡移植攻击。如果你想知道应该如何保护自己的电话号码,可以参阅 这篇文章 。 但愿随着这种黑客攻击手法变得更广为人知,更多的应用能够引入非短信双重认证功能,移动运营商能够让移植手机号码变得更困难,以及用户能够采取更多措施来保护自己的账号。随着我们身份和资产的数字化程度越来越高,验证码和身份验证应用必然成为我们日常生活的组成部分,而不仅仅是门锁和家庭安全系统。   稿源:TechCrunch,翻译:王灿均,封面源自网络;