雙因素驗證並非 100% 安全,伊朗駭客成功繞過驗證機制入侵 Gmail、Yahoo 帳號

作者 | 發布日期 2018 年 12 月 20 日 9:10 | 分類 網路 , 資訊安全 follow us in feedly


安全公司 Certfa Lab 最近一篇研究報告指出,有伊朗政府背景的駭客攻擊者,利用釣魚郵件,攻擊一些鎖定的政治家、官員及記者等特定人物,只要受害者不小心中招,他們就有機會取得這些人的 Gmail 或 Yahoo 帳號,甚至就算受害者啟用雙因素驗證機制,駭客也有解決方法。

雙因素驗證,指的是使用者需要透過兩種以上認證機制才能得到授權使用電腦或手機資源。比方說透過輸入 PIN 碼是第一層,然後再來插入健保卡或憑證卡是第二層。一般網站來說,要登入會員的雙因素通常是網站會員密碼為第一層,然後就是手機簡訊傳驗證碼是第二層。

當然,天底下沒有完美不被攻破的密碼,雙因素或多因素驗證並不能說是完美,但至少目前來說,算是相對安全的保護機制。

那麼,伊朗駭客又是怎樣破解的呢?嚴格來說,他們並不是破解這個機制,而是繞過去。

首先,駭客會以一些聳動標題向這些特定人士發送信件,偽裝成官網信件,告訴他們 Gmail、Yahoo Mail 的郵件信箱有未授權的存取活動,要求他們馬上點選連結檢視帳號安全。

由於這些受害者都屬於高敏感性的人物,因此本來就擔心帳號可能會被人入侵,或是本來就有被入侵的可能性,因此他們多半都會點選信中連結,檢查自己的帳號。

不過,這個連結就是導向駭客為他們設計的釣魚網頁。

釣魚網頁會與原始網頁一樣,要求會員輸入密碼、驗證帳號以便登入。且為了讓受害者上鉤時駭客能即時回應,用人工與受害者鬥智,因此他們在信中埋了一個隱藏的圖片檔,用戶上當的時候會立即通知駭客。

Certfa Lab 猜測,駭客用的方法是,當使用者啟用雙因素驗證,輸入驗證碼同時,駭客也同步收到驗證碼,然後到用戶真正的 Gmail 或 Yahoo 信箱輸入確認是否正確。且因駭客中間輸入的動作,用戶沒察覺有異的話,基本上受害者不會知道自己郵件帳號被入侵了,信箱內容會一直被人窺視。當然,因 Gmail 帳號與 Google 其他服務相通,受害者如果常用 Google 服務,就等於全部被攻陷。

不過 Certfa Lab 也表示,上述步驟是依據駭客的釣魚網頁回推的猜測,他們沒辦法證實駭客是否真的這樣做。「我們唯一能確定的,就是他們已繞過 Google 傳送簡訊的雙重驗證機制。」

雙重因素驗證機制不安全了嗎?

雖然證實有駭客可繞過雙重驗證機制,不過,這表示現有的雙重或多重驗證機制就不安全了嗎?其實也不一定。

就拿確定被駭客繞過的 Google 傳送簡訊驗證機制來說,當你被人用釣魚網頁攻擊,透過雙重驗證機制要求 Google 傳送簡訊驗證碼給你時,這個簡訊驗證碼是一次性、有時效性的,通常要求你在幾秒內輸入。如果你時間內沒有輸入,簡訊驗證碼也就沒用了。因此,這段時間駭客必須同步輸入,錯過時間就算取得驗證碼也沒有用。

當然上述方法理論上也可以開發一套機制由機器人代勞,扮演中間人角色,取得你的驗證碼。

就算如此,雙重因素驗證機制還有硬體驗證法。比方說當你採用健保卡或其他硬體憑證卡當作身分認證機制,除非硬體驗證卡有被複製的可能,否則理論來說雙重因素驗證機制強度還是相當高。如今年 8 月底,Google 就推出實體安全金鑰 Titan,就可防止類似 Google 帳號遭釣魚網頁攻擊的危險。這種硬體驗證機制,目前來說應該還是最安全的。