安全專家上週四表示，近期針對美國政府官員、活動家和記者的網路釣魚活動日益猖獗，並且利用技術手段繞過了被Gmail和Yahoo Mail廣泛使用的雙因素認證保護系統（2FA）。此次釣魚攻擊事件再次表明依賴單次登陸或者一次性密碼的2FA同樣存在風險，尤其是通過SMS簡訊傳送至使用者手機的情況。

安全公司Certfa Lab的研究人員在一篇部落格文章中表示，有伊朗政府背景的黑客攻擊者收集了攻擊目標的詳細資訊，並利用了這些資訊撰寫了針對這些目標的釣魚網路郵件。這些郵件中包含一張隱藏照片，在攻擊目標瀏覽該資訊的時候就會自動啟用。

使用者在虛假的Gmail或者Yahoo安全頁面輸入密碼之後，攻擊者幾乎會根據輸入憑證轉向到真實的登陸頁面。如果目標帳戶受到2fa的保護，則攻擊者會將目標重定向到請求一次性密碼的新頁面。

Certfa Lab的研究人員寫道：“換句話說，他們會在自己的伺服器上實時檢查受害者的使用者名稱稱和密碼。而且即使啟用了例如簡訊、認證APP或者一鍵式登陸的雙因素認證，仍然能夠欺騙目標並竊取這些資訊。”

在一封郵件中， Certfa Lab發言人稱公司研究人員已經正式該技術能夠成功入侵基於SMS簡訊雙因素保護的賬號。研究人員目前無法確認這項技術能否通過Google Authenticator或者Duo Security配套APP中傳輸一次性密碼。