網路安全威脅日益升溫,連科技巨頭 Google 近期也罕見地對全球使用者發出緊急安全警告,提醒用戶需要即時升級帳號保護措施。Google 強調,駭客正積極針對使用者帳號試圖竊取安全憑證,而長久以來被廣泛使用的 簡訊(SMS)雙重身分驗證(2FA),已經成為駭客容易攻破的弱點!
SMS 驗證不再安全:駭客瞄準 SIM 卡與中間人攻擊
Google 威脅分析小組與眾多電腦保安專家一致警告,雖然啟用雙重身分驗證(2FA)是保護帳號的最低要求,但僅依賴基於簡訊的驗證方式已嚴重不足。
簡訊驗證碼很容易成為攻擊目標:
1. SIM 卡交換攻擊(SIM Swap Attack): 駭客透過社交工程等手段,將你的手機號碼轉移到自己的 SIM 卡上,從而直接接收你的簡訊驗證碼。
2. 惡意簡訊與中間人攻擊: 惡意的釣魚網站或程式可以竊取傳送中的驗證碼,讓駭客輕鬆繞過防線。
因此,Google 鄭重呼籲,使用者應該立即停止依賴簡訊 2FA,轉向更堅固的安全方案。
三大救星:Google 提示、Authenticator 及最強防線 Passkey
專家強烈建議用戶應改用以下更安全的驗證方式,以應對日益精進的駭客攻擊:
Google 強調,啟用 Passkey 是現時對抗釣魚攻擊最有效的防禦手段。
1. Google 提示 (Google Prompts)
最方便的 2FA 方式,直接彈出通知到信任裝置。安全性比 SMS 高得多。
適用所有用戶:最簡單入門的升級方式。
2. Google Authenticator
App 產生時效性一次性密碼(TOTP),不依賴手機訊號,安全性極高。
適用進階用戶:可離線使用,多用於各類服務帳號。
3. 密碼金鑰 (Passkey)
最強防線!支援指紋、臉部辨識或手機螢幕鎖定,能有效防範所有釣魚攻擊,因為無需輸入密碼。
適用所有用戶:未來趨勢,建議儘快設定。
加密防線:必做的安全檢查清單
Google 也提醒用戶要對「釣魚郵件」提高警覺:
勿點擊可疑連結: 若收到來自如 no-reply@accounts.google.com 或帶有「法院傳票」等字眼的可疑郵件,切勿點擊連結,應直接前往官方網站核實。
留意釣魚頁面: 駭客甚至利用 Google 的子域名(如 sites.google.com)搭建高仿的釣魚頁面,極具欺騙性。
定期審核帳號: 定期檢查 Google、微軟、Meta、蘋果、亞馬遜等主要帳號的活動紀錄,並移除可疑的第三方應用程式或瀏覽器外掛。
即刻【按此】,用 App 睇更多產品開箱影片
Source : Google、ezone.hk
【熱門報道】