雙因素驗證並非100%安全,伊朗駭客成功繞過驗證機制入侵Gmail、Yahoo帳號
安全公司Certfa Lab最近在一篇研究報告中指出,來自伊朗政府背景的駭客攻擊者,利用釣魚郵件的方式,來攻擊一些他們鎖定的政治家、官員以及記者等等特定人物,只要受害者不小心中招的話,他們就有機會取得這些人的Gmail或是Yahoo的帳號,甚至就算是受害者採用了雙因素驗證的機制,駭客也有解決的辦法。
雙因素驗證,指的是使用者需要透過兩種以上的認證機制才能得到授權使用電腦或是手機的資源。比方說透過輸入PIN碼是第一層,然後再來插入健保卡或是憑證卡是第二層。而以一般網站來說,要登入會員的雙因素通常都是你的網站會員密碼為第一層,然後就是手機簡訊傳驗證碼是第二層。
當然,天底下沒有完美不會被攻破的密碼,雙因素或是多因素驗證或許並不能說的上是完美,但是至少是目前來說,算是相對安全的保護機制。
那麼,伊朗的駭客又是怎麼樣破解的呢?嚴格來說,他們並不是破解這個機制,而是繞過了這個機制。
首先,駭客會以一些聳動的標題向這些特定人士來發送信件,偽裝成網站官方信件,告訴他們的Gmail、Yahoo Mail的郵件信箱遭受到了未授權的存取活動,要求他們馬上點選連結來檢視自己的帳號。
▲ 這是駭客發送的釣魚郵件,宣稱受害者的帳號有問題
由於這些受害者都是屬於高度敏感性的人物,因此他們本來就擔心自己的帳號可能會被人入侵,或是本來就有被入侵的可能性,因此他們多半都會點選信中的連結,去檢查自己的帳號。
不過,這個連結實際上是導向駭客為他們所設計的釣魚網頁。
這個釣魚網頁會與原始網頁一樣,要求會員輸入密碼、驗證帳號以便登入。而且為了讓有受害者上鉤時駭客能夠即時回應,用人工與受害者鬥智,因此他們在信件中埋了一個隱藏的圖片檔,當用戶上當的時候會即時通知駭客。
Certfa Lab猜測,駭客用的方法是,當使用者採用了雙因素驗證的時候,輸入了驗證碼的同時,駭客也會同步在中間收到驗證碼,然後同步到用戶真正的Gmail或是Yahoo信箱中輸入確認是否正確。而且因為駭客在中間輸入的動作用戶沒有察覺到有異的話,基本上受害者是不會知道自己郵件被入侵了,而自己的信箱內容會一直被人得知。當然,因為Gmail的帳號與Google其他服務是相通的,受害者如果常用Google服務的話就等於全部都被攻陷。
不過Certfa Lab也表示,上述的這些步驟是依據駭客的釣魚網頁所回推過去做的猜測,他們並沒辦法證實駭客是否真的是這樣的作法。「我們唯一能確定的,就是他們已經繞過了Google傳送簡訊的雙重驗證機制。」
雙重因素驗證機制不安全了嗎?
雖然被證實有駭客可以繞過雙重驗證機制,不過,這表示現有的雙重或是多重驗證機制就不安全了嗎?其實也不一定。
就拿已經確定被駭客繞過的Google傳送簡訊的驗證機制來說,當你被人用釣魚網頁攻擊的時候,你透過雙重驗證機制要求Google傳送簡訊驗證碼給你的時候,這個簡訊驗證碼是一次性、而且有時效性的,通常要求你在30秒之內輸入。如果你在30秒之內沒有輸入的話,這個簡訊驗證碼也就沒用了。因此,這段時間之內駭客必須要同步輸入,一錯過了這個時間,就算是取得了驗證碼也沒有用。
當然上述的方法理論上也可以開發出一套機制來由機器人代勞扮演這個中間人的角色,取得你的驗證碼。
不過,就算如此,雙重因素驗證機制還有硬體的驗證方法。比方說當你採用了健保卡或是其他硬體憑證卡來當作你身分認證的機制的話,除非這個硬體驗證卡有被人複製的可能,否則理論上來說雙重因素驗證機制強度還是相當高的。像是今年8月底,Google就推出了實體安全金鑰Titan,就可以防止類似這樣Google帳號遭釣魚網頁攻擊的危險。這種硬體驗證機制,目前來說應該還是最安全的。