【翻墙问答】一分钟时间 黑客成功攻破二步认证

2018-12-28
电邮
评论
Share
打印
2018年12月7日,网络安全公司Certfa的研究员,针对伊朗国家支持的Charming Kitten黑客组织使用钓鱼攻击入侵美国电邮系统进行研究。(美联社)
2018年12月7日,网络安全公司Certfa的研究员,针对伊朗国家支持的Charming Kitten黑客组织使用钓鱼攻击入侵美国电邮系统进行研究。(美联社)

问︰最近,伊朗有人权分子发现,自己的Gmail等二步认证被攻破,而攻击手段与伊朗有人故意设立的假网站有关,请问黑客用甚么方式,可以攻破手机二步认证的应用程式。相关的应用程式,运行时基本上没有连上互联网。

李建军︰伊朗有人权分子收到钓鱼邮件,然后打开了一个几可乱真的Gmail登录网站,登入自己的Gmail帐户,并输入二步认证密码之后,自己的电邮便不断落入黑客手中。

后来发现黑客在假网站成功取得二步认证码,随即修改Gmail设定。因此,黑客就可以绕过二步认证的限制,不断取得受害人的电邮,这次是第一次有黑客,成功连手机的二步认证应用程式都攻破,而且当中不涉及任何解密程式,这看到二步认证程式产生的认证码,必须要由人手输入,因而需要的一分钟有效时间,就足以令黑客成功攻破户口。

问︰钓鱼黑客这种二步认证攻击,不单在手机传送的二步认证码有效,对使用手机App产生的二步认证码都有效,这是基于甚么原理?相信这不涉及任何国有电讯公司,对未有加密短讯的拦截。

李建军︰没错,这不涉及电讯公司的短讯拦截,但手机产生的二步认证码,有大概一分钟左右的有效时间,而黑客以可以乱真的假网站,收到你输入由手机产生的二步认证码后,随即在真正的Gmail登入网站上,用程式输入所偷取资料在另一部电脑上,这就可以将你的二步认证功能毁掉,或利用相关二步认证码,令特定装置可以长期登入你的电邮户口。

对黑客而言,一分钟有效时间已经足够他们做很多事。而且一般人对黑客的攻击并无警觉性,当第一次二步认证码失效,系统再要求输入一次二步认证码,都不会意识到这是假网站的钓鱼攻击。这也是为何,连手机应用程式产生二步认证码功能,都被黑客一举攻破;因为黑客正正看到,手机应用程式始终要依靠人手输入相关二步认证码的弱点。

问︰现时,还有哪一种二步认证是可靠,且可以回避到黑客针对二步认证的攻击?

李建军︰现时只剩下硬件的USB金钥认证,黑客是无法透过自动程式偷取认证码而对你的帐户有所行动,因为USB金钥认证不涉及任何数字的输入,这必须透过电脑浏览器直接连上USB金钥,从而取得二步认证码。因此,对于资料十分敏感的听众,改用USB金钥成为了唯一可靠的二步认证方法,黑客不会作出任何成功攻击。而USB金钥认证,由于原理不涉及任何人手键盘输入的关系,会仍然在可见将来有效运作。

暂时只有一个方法,可以攻破USB金钥的二步认证码运作,那就是派小偷盗走你的USB金钥,因此,你要小心提防扒手之类的人物偷走你的USB金钥,或是USB金钥被公安带走,甚至公安迫你将USB金钥交出,以便他们偷取资料。

问︰那要避免登入一些以假乱真的网站,又可以怎样做?

李建军︰其实Gmail的登入方法得一个,那是Gmail.com,如果你不肯定是否登入原装的Gmail,你可以检查一下,由于Gmail登入是加密的,伪冒网站有否加密,如果没加密就肯定是假货;如果有加密,就要留意数码证书是否由Globalsign以及谷歌本身发出,如果数码证书是发予一些古怪网站,或者并非由谷歌发出,而是一些类似Cloudflare或其他公司发的证书,即是有关网站有问题,就不要再继续登入程序,并立即离开相关网站。

完整网站