지난 해 미국 선거에서 러시아 해커들이 연루된 보고서를 기억 하는가? 밝혀졌고, 그들은 다시 돌아 왔고, 그 어느 때보 다 위협적입니다. 이번에는 Gmail 계정을 개척하고 있으며 Google의 2 단계 인증까지 방지 할 수없는 방식으로 계정을 관리하고 있습니다.
"Pawn Storm"또는 "Fancy Bear"라고 불리는 해커 그룹은 Google 에서 경고로 위장한 피싱 전자 메일을 발송 하여 사용자가 계정에 액세스하려는 여러 시도를 알리고 " Google Defender "사용을 권장합니다. Google 앱인 척 위장한 앱. 겉보기에 무해한 'Install Google Defender'링크를 클릭 한 다음 사용자의 Google 계정에 대한 앱 액세스를 '허용'하면 실수로 OAuth 토큰을 해커에게 양도합니다 .
평신도 용어로 해커가 계정에 OAuth 토큰을 사용하면 애플리케이션이 비밀번호를 알 필요없이 Google 계정에 액세스 할 수 있습니다 . OAuth는 불편 함이 아닌 편리함을 의미하기 때문에 매우 걱정 스럽습니다. 전문가들은 OAuth가 악의적 인 효과에 사용될 수 있다고 항상 경고했습니다. 그리고 지금 가지고 있습니다.
솔직히 두 단계 인증은 계정에 대한 무단 액세스를 방지하는 가장 안전한 방법 중 하나입니다. Google 계정에 대한 액세스를 허용하기 위해 비밀번호뿐 아니라 사용자의 전화로 전송 된 고유 코드가 필요하기 때문에 작동합니다. 실제로 여기서는 실패한 2 단계 인증이 아니라 피싱 공격의 영리함과 사용자가 피싱 메일을 인식 할 수 없으며 해커가 2 단계 인증에 대해 걱정할 필요조차 없다는 것을 이해하는 것이 중요합니다. .