保护账户仅依赖用户名和密码并非明智之举，因为这些信息容易被盗取、猜测或破解。因此，双重认证（2FA）被推荐用于所有重要访问点。多年来，网上银行甚至已经强制使用此功能。

在双重认证中，登录账户、网络或应用程序需要两个因素。其中一个因素是安全特性，可以从以下三个类别中获取：

值得注意的是，双重认证非常安全，但并非无懈可击。黑客可以利用各种技巧绕过安全防线，窃取账户。这些攻击通常被称为“中间人”攻击。

### 网络钓鱼页面：双重认证最大的威胁之一是网络钓鱼攻击。网络犯罪分子通过伪造网站诱使用户泄露登录详情。受害者经常通过电子邮件、短信或WhatsApp消息接收声称来自合法公司的钓鱼网站链接。

### 简单的网络钓鱼页面“仅”窃取用户的登录数据。在“中间人”攻击中，网站还截获了双因素认证代码。然后，攻击者立即使用这些数据登录相关服务。然而，这种攻击需要时间，因为一次性的密码通常只有效几秒。

### 如何保护自己：几乎所有银行都会在请求授权的一次性密码时向您发送转账金额供检查。在大多数情况下，接收方的IBAN也会完整或部分传输。务必仔细检查这些数据。

### 更多阅读：如何防范新型安全威胁中的“Quishing”和“Vishing”

另一种“中间人”技术的变体是在受害者浏览器中直接植入恶意代码。恶意代码等待用户登录银行并进行2FA后，在后台操纵转账。此类恶意软件包括Carberp、Emotet、Spyeye和Zeus等。

### 如何保护自己：几乎所有的银行在请求授权一次性密码时都会再次发送转账金额供确认。在大多数情况下，接收方的IBAN也会完整或部分传输。始终仔细检查这些数据。

### 更多阅读：改变这5个Windows设置以提高数据隐私

### 在许多情况下，攻击者已经获取了在线账户的用户名和密码，因为他们从暗网上的密码集合中获得了这些数据。或者，他们将信息窃取器（即恶意软件）偷偷地安装到受害者的PC上。

### 攻击者还需要登录受害者的在线账户的第二个因素。他们通过打电话获取这个因素，假装是银行员工，并声称需要使用客户的2FA程序进行授权。如果受害者在此刻通过2FA授权操作，则不是同意新的安全程序，而是将资金转移到攻击者的账户。

### 如何保护自己：永远不要将2FA代码和授权透露给其他人，也绝不要按照来电者的指示这样做。真正的服务人员永远不会要求您提供这类秘密信息。

### 一段时间以来，从在线账户通过短信接收的一次性密码被认为是安全的登录方法。但随后，犯罪分子开发了SIM交换，并清空了大量在线账户，包括数百万个2FA保护的在线比特币交易所账户。前提条件是攻击者已知受害者的用户名和密码。

### 在SIM交换中，攻击者控制了受害者的手机号码。攻击者迫使移动运营商发送新的SIM卡或eSIM。攻击者激活此卡在其自己的手机上，并接收带有2FA登录的短信。

### 攻击者通常简单地告诉移动运营商，他们丢失了手机，并请求新SIM卡。如果运营商不这样做，攻击者可以等到邮件到达受害者正确地址，然后在实际收件人到达前空信箱。

### 这当然对攻击者来说非常耗时。但对于有大量资金在账户中的受害者而言，对于犯罪分子来说显然是值得的。

### 如何保护自己：如果可能，请不要使用短信进行2FA。例如，来自身份验证应用的一次性代码更安全。

### 许多具有双重登录功能的服务提供了在PC上记忆浏览器的选项。这样，只需在PC上使用第二个因素登录一次即可。下一次登录时，您要么不需要任何登录详细信息，要么只需要用户名和密码。

### 这大大增加了便利性——但也增加了攻击面。在这种方法中，服务在您的PC上保存了一个认证Cookie，其中包含加密的登录数据。如果攻击者成功在您的PC上放置了信息窃取器（即恶意软件），则可以窃取包含登录信息的Cookie。攻击者使用此Cookie在自己的PC上打开在线服务，无需登录或第二个因素。

### 例如，Lumma是一种自2022年起开始攻击PC的恶意软件，作为“服务即恶意软件”在俄罗斯地下论坛上出售。

### 更多阅读：Google的暗网监控实际上相当有帮助

Post by Polly