雅加达 - 网络安全专家警告所有Gmail用户,新的威胁可能会渗透到双因素身份验证系统(2FA)并接管他们的帐户。
双因素身份验证通常通过向有效用户的手机或电子邮件发送访问代码来添加额外的安全层。但是,一个名为Astaroth的新黑客工具可以实时窃取此代码,并使受害者认为他们一如既往地登录了他们的帐户,尽管实际上它们被引导到类似于其浏览器显示的虚假页面。
阿斯塔罗斯如何工作?
Astaroth使用先进的网络钓鱼技术,允许黑客在受害者试图通过虚假页面登录其帐户后窃取用户名,密码,信用卡号,银行信息和其他重要数据。
当用户在虚假登录页面上输入其凭据时,Astaroth充当“中介”,在将其转发到实际登录页面之前记录信息。使用此方法,黑客可以避免检测和窃取:
- 用户名和密码
- 双因素身份验证码(2FA)
- 会话Cookie,允许他们登录而无需重置凭据
假页没有显示任何安全警告,受害者在被黑客入侵之前,没有意识到他们的信息被盗。
谁在危险?此攻击可能针对任何使用电子邮件服务的人,如:📌 Gmail – 18亿用户(2) Microsoft Outlook – 4亿用户(2)雅虎邮件 – 2.25亿用户(2) AOL Mail – 100万用户(2)使用第三方登录的帐户(Google,Facebook等)。
如何保护自己免受这次攻击?
- 不要单击通过电子邮件、短信或社交媒体发送的可疑链接。输入登录信息之前,仔细检查URL。确保您真的在官方网站上。- 使用基于应用程序的两个因素的身份验证,如Google身份验证器或Authy,而不是SMS或电子邮件。- 在有可疑的登录活动时打开Gmail安全警报以通知。- 永远不要与任何人共享2FA代码,即使您觉得自己收到了谷歌或其他官方公司的请求。
Astaroth在暗网上的卖家提供的该工具的售价仅为2,000美元(3260万印尼盾),包括六个月的更新,以避免最新的安全系统检测。这使得当局更难追踪网络犯罪的肇事者。
谷歌本身每天过滤了近1亿个网络钓鱼电子邮件,但网络犯罪也在不断增长。因此,请始终保持警惕,不要成为此攻击的受害者。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
