黑客在欺骗我们这方面变得越来越聪明,如今他们正使用复杂的攻击手法进入我们的Gmail。

伊朗黑客现在发现了一种新的方法来绕过Gmail严密的两步验证安保系统。这一安全过程,需要一个安全代码(通常通过短信发送)连同密码用来登录Gmail帐户。

Citizen Lab研究人员周四发布了一份报告,这份报告显示了如何使用短信和电话钓鱼攻击来bypass Gmail的安保系统,从而接管目标的Gmail账户,特别是反对党的政治人员账户。

该报告详细阐述了三种针对伊朗的激进分子的网络钓鱼攻击类型,。研究人员同时还激进分子在攻击Jillian York这个目标,目前Jillian York主管着国际电子前沿基金会的言论自由。

攻击又是是如何进行的呢？

一、通过手机短信:

在某些情况下,黑客使用短信,并将其发送给他们的目标。这短消息看起来像是来自google的,它警告你,有一个未授权的用户正在访问你的Gmail。

然后会收到一个精心设计的电子邮件通知单,看起来也是Google发送的,这份邮件会重定向到受害者的“密码重置”页面,这可以用来收集受害者的密码。

然后黑客在背后实时地使用密码登录到受害者的账户并触发安全机制让安全代码发送到目标手机。

因为Gmail使用这个安全代码来双因子认证,相当于为Gmail用户额外增加了一层密码安全保护。

在这之后,黑客等待目标受害者在虚假网站上提交他们的短信密码,然后使用收集的短信密码来控制受害者的Gmail帐户。

二、通过电话:

在另一种情况下,黑客给目标打电话告诉他们一些假的商业建议和方案,通常是给几千美元优惠啥的。

然后,假的方案和建议连同假冒的谷歌链接被发送到受害者的Gmail帐户里,将该链接会提示用户登陆模仿谷歌的双因子验证界面,就想在短信案例里的那样。

用户往往会疏于黑客的网络钓鱼攻击,因为一些黑客往往会假装路透社记者来打电话给你安排一场面试。

试图通过欺骗手段来bypass双因子身份验证并不是什么新鲜事了。因为我们可以看到已经有黑客在地下的网络论坛售卖数以万计的Gmail用户名和密码。

(责任编辑：腰编辑)