双因素认证(简称2FA)是当前主流在线服务的重要安全措施之一,从银行到Google,从Facebook到政府机构都逐渐采用了这项安全措施。在双因素认证保护账号需求进行登录操作的时候需要输入以SMS短信发送的验证码,否则即使在输入正确的密码也会被系统所阻止。
在本周末,Clearbit.com的联合创始人Alex MacCaw在个人推特上分享了他近日收到的一条短信。匿名攻击者相MacCaw发送了一条冒充Google的SMS短信,信息内容如下:
(Google 通知)我们近期注意到来自IP地址136.91.38.203(加州瓦卡维尔)尝试登录jschnei4@gmail.com账号的可疑行为。如果你并未在上述地址进行过登陆,将会暂时锁定你的账号。请回复你接收到的六位验证码,如果你确认识别这次登陆,请忽略这个警告
基本上,攻击者欺诈受害人接收双因素认证识识别码,以便于为随后进行的非法登录尝试做准备。这种欺诈手段通常已经获得了MacCaw的账号密码,而如果消费者错认为这是双因素系统锁定账号的操作,将六位验证码发送给Google,其实MacCaw的发送对象是欺诈者,后者就能进入登陆页面访问他的账号。