多年來被黑客用以入侵目標用戶電郵的手法多為釣魚攻擊、各式帳戶爆破等,但隨着社交網絡日趨普及,黑客亦已漸轉向此範疇着手。而日前資安研究機構 Symantec 就揭示出一種黑客藉「忘記密碼」及短訊以誘騙用戶提供驗證碼以助其駭。
藉「重設密碼」進行合法登入
據 Symantec 的研究報告指,應用此攻擊手法的黑客毋須擁有任使程式或專業技術,只要擁有目標用戶的電郵與手機號碼,黑客就可以成功對此發動攻擊。
黑客只需在電郵服務的登入頁面中向服務供應商提供目標用戶的電郵地址,透過「重設密碼」令服務供應商向用戶的手機推送包含驗證碼的短訊;黑客之後將再透過短訊向同一用戶發送偽裝成來自相應電郵服務供應商的訊息,向用戶表示其帳戶有可疑活動,並要求其提供帳戶的驗證碼以確認其身份。
而事實上用戶提供的驗證碼為帳戶「重設密碼」用的驗證碼,黑客在得到用戶的回覆後,就可以如一般尋常用戶登入帳戶,以避過電郵服務供應商的安全登入檢測機制,同時獲得用戶的電郵帳戶。Symantec 特別指出,由於多個著名電郵服務供應商如 Google、Yahoo 等均採用類似的保安與重設機制,故此上述攻擊的受影響對像包含各大電郵服務供應商的用戶。
而有見於在不少國家中來自各服務及企業的來電均為未知來電,故此亦有一定數量的用戶對此「認證機制」深信不疑,令黑客可於近乎毋須特殊專業技術的情況下大規模獲得用戶的電郵帳戶。
對此,Symantec 就提醒各用戶,無論使等服務,其正當手法均只會向用戶提供驗證碼,並不會向其索取驗證碼。
Source:Symantec
