伊朗骇客假冒Gmail和YahooMail遭骇通知信来发送钓鱼邮件，专门锁定记者、社运人士和官员

安全研究公司发现最近有亲伊朗政府的骇客向美国政府官员、社会运动人士和记者发送钓鱼邮件，甚至连Gmail、Yahoo Mail等服务的双因素验证（2FA）也能成功绕过，突显2FA技术的安全性。

安全业者 Certfa Lab 11月间侦测到有精准网钓攻击邮件，对政治人物、记者或人权人士发送以“notifications.mailservices[at]gmail.com”、“customer[at]email-delivery.info”为标题发送，“通知”他们Gmail或Yahoo Mail的邮箱账号遭未授权存取，要其立即点击连结了解详情。和其他网钓攻击一样，该信会将受害者导向假的Gmail或Yahoo Mail网页，要求用户验证账号、密码以便登入下载档案。为此骇客还以Google Site架了一个以假乱真的Google Drive网页以搏取受害者信任。

此外，为了躲避Gmail的检查，网钓邮件还以图片为信件主题。信件中并嵌有一个隐藏图片档，让用户上钩时立即通知骇客。

根据网钓邮件来源网域，研究人员判断这是源自伊朗政府支持的骇客组织Charming Kitten，可能和美国对伊朗实施的军事和经济制裁有关。研究人员已通报Google撤下骇客Google Site网页。

这次攻击较特别的是，透过钓鱼信件的隐藏图片，骇客会获知用户上当，且同步于真正Gmail和Yahoo Mail登入页中输入检查是否正确。即使如果邮件启用了简讯、像Google Authenticator等验证app的2FA，也可以依此窃取2FA验证码。此外，为免打草惊蛇，骇客并不变更邮箱密码，以便未来还可以用上这些邮件账号。

这次的网钓攻击连2FA都能成功绕过，突显2FA的安全风险，研究人员认为最保险的方法是使用YubiKey等FIDO标准的硬件验证金钥。Google已经于2014年支援FIDO硬件安全验证，而包括Google Chrome、Microsoft Edge与Mozilla Firefox等浏览器也承诺支援FIDO2身份验证规格，降低使用者连上钓鱼网站的风险。