導語:到目前為止,使用雙因素身份驗證(也稱為2FA安全性)被視為保護在線帳戶的有效方式。但是,一個組織現在宣稱這一額外步驟不再是黑客無法企及的。
雙因素身份驗證不再是最安全的。到目前為止,雙因素身份驗證已被證明是保護我們的設備和個人信息安全的有效方法。使用它也很簡單。您使用用戶名和密碼登錄帳戶,然後以包含臨時PIN的文本或電子郵件的形式向您發送第二個身份驗證請求。
2FA是目前最常用的安全措施之一,大多數主要網站和應用程式都推薦使用它,包括Fortnite。但是,網絡犯罪分子現在已經找到了利用2FA安全漏洞的方法。如果您在大多數在線工作中使用手機,這些缺陷可能會更具威脅性。黑客現在已經設計出了破解電話號碼的方法。
周三,國際特赦組織公布了一項神秘的網絡釣魚活動,該活動一直在滲透中東和北非的用戶帳戶。該報告指出,網絡釣魚攻擊主要針對記者和活動家,使用虛假電子郵件和登錄頁面。根據該組織的說法,這些網絡釣魚攻擊的主要目的是欺騙用戶放棄訪問他們的谷歌和雅虎帳戶,即使他們有2FA安全措施。「讓這些活動特別令人不安的是他們破壞目標的數字安全策略的時間長度,」國際特赦組織寫道。
使用自動網絡釣魚攻擊來欺騙2FA安全性?由於雙因素身份驗證主要是發送給您的一串隨機數字,黑客需要做的就是欺騙受害者交出代碼。據該組織稱,黑客通過發送似乎來自谷歌和雅虎的虛假安全警報來欺騙受害者。警報顯示他們的帳戶安全性可能已受到損害。它還包括指向官方頁面的連結以重置密碼。
「對於大多數用戶來說,谷歌提示改變密碼似乎是公司聯繫的正當理由,實際上是這樣,」國際特赦組織說。該組織在調查從人權活動人士和記者那裡收到的一些可疑電子郵件時,了解到此類網絡釣魚攻擊。為了進一步調查,該小組創建了一個臨時Google帳戶,並做了黑客希望他們做的事情。「果然,我們配置的電話號碼確實收到包含有效Google驗證碼的簡訊,」該組織表示。
國際特赦組織還發現,神秘團隊使用Web應用程式測試工具來自動化攻擊。這種自動化有助於黑客在時間限制到期之前將為2FA安全性發送的一次性代碼輸入真實的Google或Yahoo登錄頁面。儘管存在此類網絡釣魚攻擊,國際特赦組織仍建議使用雙因素身份驗證。然而,該機構還希望人們更加小心,因為這樣的系統也有局限性。
你怎麼能領先於網絡犯罪分子呢?除了小心之外,還有一些其他方法可以幫助您避免此類攻擊。據「今日美國」報導,一種有效的方法是使用輔助號碼將呼叫和簡訊指向您的主要手機。在設置2FA安全性時,輔助號碼有助於保護您的主號碼安全。
此外,即使您丟失手機或切換到其他運營商,您的輔助號碼仍可通過網絡或其他電話訪問。您可以輕鬆地從Google Voice獲取免費的二級號碼,用於語音通話,簡訊和語音郵件。您需要擁有一個有效的Google帳戶才能獲得一個號碼。
獲得輔助號碼後,您可以在2FA而不是主號碼中使用它。但是,它有一個限制。如果黑客以某種方式控制了您的Google帳戶,那麼這個輔助號碼就無法幫助您,因為它已連接到您的Google帳戶。
另一種方法是使用身份驗證器應用程式進行雙因素身份驗證,這些應用程式更易於使用,並且被認為比文本消息更安全。您可以使用許多流行的身份驗證器應用程式,例如Google,Authy,Microsoft,LastPass,FreeOTP等提供的應用程式。
您還可以選擇安全密鑰來保護您的在線資產。這些密鑰是基於硬體的設備,可替代雙因素身份驗證過程。用戶需要將這些基於USB的密鑰輸入其設備才能登錄支持的帳戶。這是最安全的方法,因為黑客竊取這個密鑰非常困難。