國際特赦組織上周公佈近來北非及中東的人權人士和記者遭到兩波網釣郵件攻擊以騙取電子郵件帳密,並成功突破雙因素驗證(2FA)的防護。

根據國際特赦組織的報告,在第一波網釣攻擊中,駭客冒充北非和中東的人權鬥士及記者常用的加密電子郵件服務Tutanota及ProtonMail。駭客先登記和正牌服務很相近的網域,並設立幾可亂真的釣魚網站。之後再發送網釣郵件給受害者,佯稱他們信箱被駭,要求他們連到信中的網站連結,輸入使用者帳號、密碼以驗證身份。結果就是被騙取了信箱登入帳密。

第二波攻擊較為特別的是駭客連受害者的Gmail、Yahoo信箱的雙因素(Two-Factor Authentication,簡稱2FA)驗證碼都被騙走了。國際特赦組織指出,這波攻擊發生於2017到2018年間,受害者高達數百、甚至上千人,大部份來自阿拉伯阿聯大公國、葉門、埃及及巴勒斯坦。根據這二波網釣郵件的手法,國際特赦組織相信為同一批人所為。

在針對Gmail、Yahoo用戶的攻擊中,駭客先設立了幾可亂真的假網域、假Gmail、Yahoo網頁,再以網釣郵件誘騙受害者連去輸入帳密。碰到有啟動2FA保護機制的帳戶,使用者也會被導向假網頁,要求輸入2FA驗證碼。

這裏駭客用了自動化的手法,在用戶點入假網頁時同時開啟真正的Gmail(或Yahoo)頁面,並在驗證碼有效的時間內,用它來登入用戶信箱。完成之後駭客就會利用二種方法,使其能一直存取受害者的信箱,而不需再經過2FA過程。

第一種方法是產生App密碼。某些信箱服務提供app密碼,以便讓一些不支援雙因素驗證的第三方app來登入。掌握這組密碼後,駭客未來就能直接存取用戶信箱(例如Yahoo)。少數受害人遭到的是第二種方法,是運用「帳號移轉」(account migration)手法,在駭客設立的Gmail下完全複製用戶的帳戶(不論是Gmail或Yahoo)的信件內容及聯絡人。這兩種手法完全是自動化執行,讓駭客得以輕易繞過2FA驗證。

上周另一名安全研究人員也揭露了伊朗駭客運用類似手法,對美國官員、記者及社會運動人士發動網釣信件攻擊,並且成功突破2FA防護。


Advertisement

更多 iThome相關內容