专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


就这样,黑客获得了用户Google账号登录验证码

2016-06-12 19:32 推荐: 浏览: 28 views 评论 字号:

摘要: 现在用户登录谷歌账户除了要输入正确的密码,同时也要输入谷歌向用户发送的验证码,这种验证机制就是双因素认证,其实除了谷歌,目前很多网站账户都采用了这样的验证机制,通过密码和验证码的双重认证,可以更好地帮用户保护账户信息,提高安全性。而现在,出现了一则案例,有黑客...

现在用户登录谷歌账户除了要输入正确的密码,同时也要输入谷歌向用户发送的验证码,这种验证机制就是双因素认证,其实除了谷歌,目前很多网站账户都采用了这样的验证机制,通过密码和验证码的双重认证,可以更好地帮用户保护账户信息,提高安全性。而现在,出现了一则案例,有黑客成功绕过了谷歌的双因素认证,登陆了别人的账号。

就这样,黑客聪明地获得了用户谷歌账号登录验证码

这个案例发生在Clearbit.com的联合创始人Alex MacCaw身上。对于黑客而言,首先,需要获得对方账户的密码,而密码的获取可以通过“撞库”等方式反复验证获得,至于验证码,就比较难了,这位黑客是这样做的:他冒充了谷歌向Alex MacCaw发送了一条账户被他人远程登录的信息,表示要锁定Alex MacCaw的账号,并要求Alex MacCaw在短信下面回复收到的验证码。而Alex MacCaw理所当然的认为这是谷歌发送的信息,便会在下面回复验证码,而事实上,这条验证码是回复给了黑客。

Alex MacCaw收到的短信是类似这样的:“我们近期注意到来自IP地址136.91.38.203(加州瓦卡维尔)尝试登录jschnei4_at_gmail.com账号的可疑行为。如果你并未在上述地址进行过登陆,将会暂时锁定你的账号。请回复你接收到的六位验证码,如果你确认识别这次登陆,请忽略这个警告。”

当然,实行这个诈骗手段的前提是已经获得而来对方的密码。而对于用户而言,如果收到了类似这样的短信,还是要确认清楚之后再做决定。

联系站长租广告位!

中国首席信息安全官