|
问︰最近,伊朗有人权分子发现,自己的Gmail等二步认证被攻破,而攻击手段与伊朗有人故意设立的假网站有关,请问嘿喀用甚么方式,可以攻破手机二步认证的应用程式。相关的应用程式,运行时基本上没有连上互联网。2DU免费翻墙网
2DU免费翻墙网
李建军︰伊朗有人权分子收到钓鱼邮件,然后打开了一个几可乱真的Gmail登录网站,登入自己的Gmail帐户,并输入二步认证密码之后,自己的电邮便不断落入嘿喀手中。2DU免费翻墙网
2DU免费翻墙网
后来发现嘿喀在假网站成功取得二步认证码,随即修改Gmail设定。因此,嘿喀就可以绕过二步认证的限制,不断取得受害人的电邮,这次是第一次有嘿喀,成功连手机的二步认证应用程式都攻破,而且当中不涉及任何解密程式,这看到二步认证程式产生的认证码,必须要由人手输入,因而需要的一分钟有效时间,就足以令嘿喀成功攻破户口。2DU免费翻墙网
2DU免费翻墙网
问︰钓鱼嘿喀这种二步认证攻击,不单在手机传送的二步认证码有效,对使用手机App产生的二步认证码都有效,这是基于甚么原理?相信这不涉及任何国有电讯公司,对未有加密短讯的拦截。2DU免费翻墙网
2DU免费翻墙网
李建军︰没错,这不涉及电讯公司的短讯拦截,但手机产生的二步认证码,有大概一分钟左右的有效时间,而嘿喀以可以乱真的假网站,收到你输入由手机产生的二步认证码后,随即在真正的Gmail登入网站上,用程式输入所偷取资料在另一部电脑上,这就可以将你的二步认证功能毁掉,或利用相关二步认证码,令特定装置可以长期登入你的电邮户口。2DU免费翻墙网
2DU免费翻墙网
对嘿喀而言,一分钟有效时间已经足够他们做很多事。而且一般人对嘿喀的攻击并无警觉性,当第一次二步认证码失效,系统再要求输入一次二步认证码,都不会意识到这是假网站的钓鱼攻击。这也是为何,连手机应用程式产生二步认证码功能,都被嘿喀一举攻破;因为嘿喀正正看到,手机应用程式始终要依靠人手输入相关二步认证码的弱点。2DU免费翻墙网
2DU免费翻墙网
问︰现时,还有哪一种二步认证是可靠,且可以回避到嘿喀针对二步认证的攻击?2DU免费翻墙网
2DU免费翻墙网
李建军︰现时只剩下硬件的USB金钥认证,嘿喀是无法透过自动程式偷取认证码而对你的帐户有所行动,因为USB金钥认证不涉及任何数字的输入,这必须透过电脑浏览器直接连上USB金钥,从而取得二步认证码。因此,对于资料十分敏感的听众,改用USB金钥成为了唯一可靠的二步认证方法,嘿喀不会作出任何成功攻击。而USB金钥认证,由于原理不涉及任何人手键盘输入的关系,会仍然在可见将来有效运作。2DU免费翻墙网
2DU免费翻墙网
暂时只有一个方法,可以攻破USB金钥的二步认证码运作,那就是派小偷盗走你的USB金钥,因此,你要小心提防扒手之类的人物偷走你的USB金钥,或是USB金钥被公安带走,甚至公安迫你将USB金钥交出,以便他们偷取资料。2DU免费翻墙网
2DU免费翻墙网
问︰那要避免登入一些以假乱真的网站,又可以怎样做?2DU免费翻墙网
2DU免费翻墙网
李建军︰其实Gmail的登入方法得一个,那是Gmail.com,如果你不肯定是否登入原装的Gmail,你可以检查一下,由于Gmail登入是加密的,伪冒网站有否加密,如果没加密就肯定是假货;如果有加密,就要留意数码证书是否由Globalsign以及谷歌本身发出,如果数码证书是发予一些古怪网站,或者并非由谷歌发出,而是一些类似Cloudflare或其他公司发的证书,即是有关网站有问题,就不要再继续登入程序,并立即离开相关网站。2DU免费翻墙网
2DU免费翻墙网
来自https://www.rfa.org/cantonese/firewall_features/break2fa-12282018090907.html?encoding=simplified
|
