多重認證(MFA)向來被視為保護網絡帳戶的關鍵防線,但最近亦出現保安缺口。Google 威脅情報小組(GTIG)的研究人員近日披露,有俄羅斯黑客組織成功繞過 Google 的多重認證機制,針對 Gmail 用戶發動精密攻擊,受害者包括多名著名學者及俄羅斯批評者,引起外界對帳戶安全的廣泛關注。
據報告指出,黑客採用極具技巧性的社交攻擊。他們首先偽冒成美國國務院官員,透過電郵與目標人物建立聯繫,在取得對方信任後,便會引導其為帳戶建立一組「應用程式密碼」(App Password)。
偽冒官員誘騙 「應用程式密碼」成保安缺口
「應用程式密碼」是 Google 提供的一項功能,原意是讓一些無法支援標準雙重認證(如手機驗證碼)的舊式應用程式或裝置(如部分電郵客戶端、相機等),能透過一組16位數的專用密碼存取 Google 帳戶。然而,正因為這組密碼能直接繞過第二步驗證,它亦成為黑客攻擊的突破口。
在其中一個由CitizenLab提供的案例中,攻擊者在電郵中同時將副本(CC)傳送至四個看似真實的「@state.gov」官方電郵地址,大大增加了騙局的可信性。
當目標用戶信以為真,按指示為帳戶生成並分享該「應用程式密碼」後,便等同於將帳戶的完整存取權限拱手相讓予黑客。由於整個攻擊過程佈局精密,研究人員懷疑其背後有國家級組織支持。
專家籲停用應用程式密碼 提高警覺防騙
是次漏洞的揭露,為用戶敲響警鐘。香港資訊科技商會榮譽會長方保僑指出:「黑客不斷尋找新方法繞過現有保安措施」。他提醒,用戶應「盡量避免使用『應用程式密碼』這類保安缺口」,並建議改用更安全的方式,例如「用特定手機授權會較安全」。
他認為,應定期檢查帳戶有否來自不明地點或裝置的異常登入記錄,並時刻對任何要求提供密碼或驗證碼的可疑訊息抱持懷疑態度。方保僑指,目前尚未有萬全之策能完全應對日益精密的網絡攻擊,用戶必須時刻保持警覺,才是保護個人資產的根本之道。
Source:ezone.hk、Malwarebytes