网安专家警告Gmail用户 新钓鱼软件可破解2FA

dalap

2025年2月23日

（纽约23日讯）网络安全专家警告全球18亿Gmail用户，有一种新型恶意攻击软件可以有效绕开双重身份验证（2FA）的防线，窃取用户账号资料。

《每日邮报》报导，双重身份验证是线上账号的一道安全防护，用户在登录线上账号之前，要先输入从手机或电邮收到的接入码（access code）。

黑客现在针对双重身份验证制造出名为Astaroth恶意攻击工具，诱导受害者访问假的Gmail登录页面，实时窃取账号密码等信息，再输入到真正的Gmail页面，然后发送2FA给受害者。

受害者通过手机或邮件收到2FA代码，再输入到假Gmail页面后，就会被Astaroth实时窃取，让黑客成功登录受害者的Gmail。

由于假网页不会跳出任何安全警示，因此受害者不会轻易察觉。唯一能避免网络钓鱼攻击的方法，就是不要点击任何可疑链接。

Astaroth的操作方式就好像黑客的中介，可以实时窃取账号和密码、2FA代码，以及浏览器文件（session cookies）。

除了钓鱼软件，出售Astaroth的暗网卖家还提供半年的软件更新服务，让黑客技术“领先”于网络安全技术。

网络安全专家警告说，黑客此次可能瞄准数十亿的电邮用户，以及使用第三方服务登录账号的人。