安全专家上周四表示,近期针对美国 *** 官员、活动家和记者的 *** 钓鱼活动日益猖獗,并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统(2FA)。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险,尤其是通过 *** S短信发送至用户手机的情况。
安全公司Certfa Lab的研究人员在一篇博客文章中表示,有伊朗 *** 背景的黑客攻击者收集了攻击目标的详细信息,并利用了这些信息撰写了针对这些目标的钓鱼 *** 邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。
用户在虚假的Gmail或者Yahoo安全页面输入密码之后,攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护,则攻击者会将目标重定向到请求一次性密码的新页面。
Certfa Lab的研究人员写道:“换句话说,他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证,仍然能够欺骗目标并窃取这些信息。”
在一封邮件中, Certfa Lab发言人称公司研究人员已经正式该技术能够成功入侵基于 *** S短信双因素保护的账号。研究人员目前无法确认这项技术能否通过Google Authenticator或者Duo Security配套APP中传输一次性密码。
稿源:cnBeta,封面源自 *** ;
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...
在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票...
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不...
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...
据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个...
