中东、北非人权人士也遭骇客网钓信件锁定，连双因素验证机制也被突破

国际特赦组织上周公布近来北非及中东的人权人士和记者遭到两波网钓邮件攻击以骗取电子邮件帐密，并成功突破双因素验证（2FA）的防护。

根据国际特赦组织的报告，在第一波网钓攻击中，骇客冒充北非和中东的人权斗士及记者常用的加密电子邮件服务Tutanota及ProtonMail。骇客先登记和正牌服务很相近的网域，并设立几可乱真的钓鱼网站。之后再发送网钓邮件给受害者，佯称他们信箱被骇，要求他们连到信中的网站链接，输入使用者账号、密码以验证身份。结果就是被骗取了信箱登入账密。

第二波攻击较为特别的是骇客连受害者的Gmail、Yahoo信箱的双因素（Two-Factor Authentication，简称2FA）验证码都被骗走了。国际特赦组织指出，这波攻击发生于2017到2018年间，受害者高达数百、甚至上千人，大部分来自阿拉伯阿联大公国、也门、埃及及巴勒斯坦。根据这二波网钓邮件的手法，国际特赦组织相信为同一批人所为。

在针对Gmail、Yahoo用户的攻击中，骇客先设立了几可乱真的假网域、假Gmail、Yahoo网页，再以网钓邮件诱骗受害者连去输入账密。碰到有启动2FA保护机制的账户，使用者也会被导向假网页，要求输入2FA验证码。

这里骇客用了自动化的手法，在用户点入假网页时同时开启真正的Gmail（或Yahoo）页面，并在验证码有效的时间内，用它来登入用户信箱。完成之后骇客就会利用二种方法，使其能一直存取受害者的信箱，而不需再经过2FA过程。

第一种方法是产生App密码。某些信箱服务提供app密码，以便让一些不支援双因素验证的第三方app来登入。掌握这组密码后，骇客未来就能直接存取用户信箱（例如Yahoo）。少数受害人遭到的是第二种方法，是运用“账号移转”（account migration）手法，在骇客设立的Gmail下完全复制用户的账户（不论是Gmail或Yahoo）的信件内容及联络人。这两种手法完全是自动化执行，让骇客得以轻易绕过2FA验证。

上周另一名安全研究人员也揭露了伊朗骇客运用类似手法，对美国官员、记者及社会运动人士发动网钓信件攻击，并且成功突破2FA防护。