【翻牆問答】一分鐘時間 黑客成功攻破二步認證

2018-12-28
電郵
評論
Share
打印
2018年12月7日,網絡安全公司Certfa的研究員,針對伊朗國家支持的Charming Kitten黑客組織使用釣魚攻擊入侵美國電郵系統進行研究。(美聯社)
2018年12月7日,網絡安全公司Certfa的研究員,針對伊朗國家支持的Charming Kitten黑客組織使用釣魚攻擊入侵美國電郵系統進行研究。(美聯社)

問︰最近,伊朗有人權分子發現,自己的Gmail等二步認證被攻破,而攻擊手段與伊朗有人故意設立的假網站有關,請問黑客用甚麼方式,可以攻破手機二步認證的應用程式。相關的應用程式,運行時基本上沒有連上互聯網。

李建軍︰伊朗有人權分子收到釣魚郵件,然後打開了一個幾可亂真的Gmail登錄網站,登入自己的Gmail帳戶,並輸入二步認證密碼之後,自己的電郵便不斷落入黑客手中。

後來發現黑客在假網站成功取得二步認證碼,隨即修改Gmail設定。因此,黑客就可以繞過二步認證的限制,不斷取得受害人的電郵,這次是第一次有黑客,成功連手機的二步認證應用程式都攻破,而且當中不涉及任何解密程式,這看到二步認證程式產生的認證碼,必須要由人手輸入,因而需要的一分鐘有效時間,就足以令黑客成功攻破戶口。

問︰釣魚黑客這種二步認證攻擊,不單在手機傳送的二步認證碼有效,對使用手機App產生的二步認證碼都有效,這是基於甚麼原理?相信這不涉及任何國有電訊公司,對未有加密短訊的攔截。

李建軍︰沒錯,這不涉及電訊公司的短訊攔截,但手機產生的二步認證碼,有大概一分鐘左右的有效時間,而黑客以可以亂真的假網站,收到你輸入由手機產生的二步認證碼後,隨即在真正的Gmail登入網站上,用程式輸入所偷取資料在另一部電腦上,這就可以將你的二步認證功能毀掉,或利用相關二步認證碼,令特定裝置可以長期登入你的電郵戶口。

對黑客而言,一分鐘有效時間已經足夠他們做很多事。而且一般人對黑客的攻擊並無警覺性,當第一次二步認證碼失效,系統再要求輸入一次二步認證碼,都不會意識到這是假網站的釣魚攻擊。這也是為何,連手機應用程式產生二步認證碼功能,都被黑客一舉攻破;因為黑客正正看到,手機應用程式始終要依靠人手輸入相關二步認證碼的弱點。

問︰現時,還有哪一種二步認證是可靠,且可以迴避到黑客針對二步認證的攻擊?

李建軍︰現時只剩下硬件的USB金鑰認證,黑客是無法透過自動程式偷取認證碼而對你的帳戶有所行動,因為USB金鑰認證不涉及任何數字的輸入,這必須透過電腦瀏覽器直接連上USB金鑰,從而取得二步認證碼。因此,對於資料十分敏感的聽眾,改用USB金鑰成為了唯一可靠的二步認證方法,黑客不會作出任何成功攻擊。而USB金鑰認證,由於原理不涉及任何人手鍵盤輸入的關係,會仍然在可見將來有效運作。

暫時只有一個方法,可以攻破USB金鑰的二步認證碼運作,那就是派小偷盜走你的USB金鑰,因此,你要小心提防扒手之類的人物偷走你的USB金鑰,或是USB金鑰被公安帶走,甚至公安迫你將USB金鑰交出,以便他們偷取資料。

問︰那要避免登入一些以假亂真的網站,又可以怎樣做?

李建軍︰其實Gmail的登入方法得一個,那是Gmail.com,如果你不肯定是否登入原裝的Gmail,你可以檢查一下,由於Gmail登入是加密的,偽冒網站有否加密,如果沒加密就肯定是假貨;如果有加密,就要留意數碼證書是否由Globalsign以及谷歌本身發出,如果數碼證書是發予一些古怪網站,或者並非由谷歌發出,而是一些類似Cloudflare或其他公司發的證書,即是有關網站有問題,就不要再繼續登入程序,並立即離開相關網站。

完整网站