IT之家讯 6月12日消息,现在用户登录谷歌账户除了要输入正确的密码,同时也要输入谷歌向用户发送的验证码,这种验证机制就是双因素认证,其实除了谷歌,目前很多网站账户都采用了这样的验证机制,通过密码和验证码的双重认证,可以更好地帮用户保护账户信息,提高安全性。而现在,出现了一则案例,有黑客成功绕过了谷歌的双因素认证,登陆了别人的账号。
这个案例发生在Clearbit.com的联合创始人Alex MacCaw身上。对于黑客而言,首先,需要获得对方账户的密码,而密码的获取可以通过“撞库”等方式反复验证获得,至于验证码,就比较难了,这位黑客是这样做的:他冒充了谷歌向Alex MacCaw发送了一条账户被他人远程登录的信息,表示要锁定Alex MacCaw的账号,并要求Alex MacCaw在短信下面回复收到的验证码。而Alex MacCaw理所当然的认为这是谷歌发送的信息,便会在下面回复验证码,而事实上,这条验证码是回复给了黑客。
Alex MacCaw收到的短信是类似这样的:“我们近期注意到来自IP地址136.91.38.203(加州瓦卡维尔)尝试登录jschnei4@gmail.com账号的可疑行为。如果你并未在上述地址进行过登陆,将会暂时锁定你的账号。请回复你接收到的六位验证码,如果你确认识别这次登陆,请忽略这个警告。”
当然,实行这个诈骗手段的前提是已经获得而来对方的密码。而对于用户而言,如果收到了类似这样的短信,还是要确认清楚之后再做决定。
本文来源:不详 作者:佚名