双重验证（2FA）几乎是当下最靠谱的账户安全保护措施了，但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞，通过向用户发送钓鱼登录页面，然后窃取用户名、密码和会话 cookie，就可以绕过双重验证。

这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官（CHO）在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名，记录用户名、密码和双重验证码，便可以获取相关信息以及 cookie 文件。一旦完成这个步骤，黑客就可以直接登录受害者的帐号，让双重验证形同虚设。

“凯文的一位白帽黑客朋友开发了一种工具，可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上，”KnowBe4 首席执行官斯图·斯约维曼（Stu Sjouwerman）说。“双重验证确实比用户名+密码更安全一些，但在这种情况下，我们清楚地看到，你无法仅仅依靠双重身份验证来保护你的帐号。”

白帽黑客库巴·格雷茨基（Kuba Gretzky）创建了一个名为 evilginx 的系统，并在网站上的 一篇文章 中详细描述了整个侵入过程。

斯约维曼指出，反钓鱼教育非常重要，如果受害者对 *** 安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话，诸如此类的黑客攻击是不可能完成的。为了验证这一点，斯约维曼给我发了一封电子邮件，看上去好像是我的同事发来的，内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人，是用 Sendgrid（一个群发邮件服务）仿造的假收件人地址。而且这个连接看似是 TechCrunch，实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站，但是在 *** 黑产那里就没这样的好事了，任何更加恶劣的情况都有可能发生。

斯约维曼说：“ *** 钓鱼的模拟证明了开展 *** 安全意识教育的重要性，因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法，因此敦促用户和 IT 部门强化安全协议。

【视频】：New Exploit Hacks LinkedIn 2-factor Authentication

稿源：TechCrunch，翻译：皓岳，封面源自 *** ；