这里有一个不太光明正大的新技巧,可以骗过一些人, 让他们以为自己是在保护他们的账户,而实际上,他们正在将自己的双因素身份验证码泄露给骗子。

双因素认证,又名2FA,许多在线服务都支持这种双层认证,例如Facebook、谷歌、银行和政府机构。

2FA的工作原理是,当用户登录一个受双因素认证保护的帐户时,手机会收到一条短信,随后用户将会被要求输入短信中的验证码。如果用户不能及时输入代码,此次登录将被视为非法登录,即使他们输入了正确的密码也无法访问帐户。这种好处是很明显的,对吧?

骗子通过谷歌,要求用户提供“验证码”。

上周,Clearbit.com的创始人Alex MacCaw发推公布了他刚刚收到的一条短信的截图。

一名未知的黑客向MacCaw发送了一条自称来自于谷歌的短信。内容如下:

”(Google™通知)我们最近发现了一次可疑的登录尝试,有人试图在IP地址136.91.38.203登录您的帐户jschnei4@gmail.com。如果您没有在这个位置尝试登录,或者想暂时锁定您的帐户,请回复您收到的6位数验证码。如果您已授权此次登录,请忽略这个警告。”

事实上,受害者将会收到的是2FA验证代码,因为攻击者正在尝试非法登录他们的帐户。

这些骗子试图访问MacCaw的帐户,当2FA系统发挥作用时, MacCaw可能会采取行动,通过发送所谓的“谷歌验证码“来锁定他的账户,事实上,这些2FA验证码将会被发送给骗子,而骗子会拿着这些验证码进入并访问他的帐户。

幸运的是,MacCaw看破了他们的把戏,没有上这种新型社会工程骗局的当。

文章原文链接:https://www.anquanke.com/post/id/84047