內容目錄
詐騙新聞時有所聞,幣圈當然也不例外。這不僅因為加密貨幣市場本身仍帶有一定的技術門檻,也因為「看不見、摸不著」的特性讓人難以信任(當然這裡指的是區塊鏈,不是靈異事件)。因此,有些人對加密貨幣敬而遠之,而另一部分人則層層加密,設定密碼、簡訊驗證、Face ID、雙重驗證、指紋解鎖,甚至備妥私鑰,以為這樣就能萬無一失……但真的如此嗎?
啟用 Google 雙重驗證還是被盜
在社群媒體 Threads 上有一名用戶 jimmie394313 分享了自己 Google 信箱被盜,結果不到五分鐘,他的 BingX 交易所資產就被盜領了!更讓人震驚的是,他明明已經啟用了雙重驗證(2FA),這到底是怎麼發生的?
當時他還不知道為什麼會被盜,還表示自己有設置 Google 的雙重驗證,消息一出就引起網友討論,想找出為什麼防護機制這麼多卻還是被盜。殊不知,問題可能就是出在 Google 的 Authenticator 的這個設定。
駭客是怎麼竊取帳戶的?
不過這裡要先說,其實駭客竊取 Gmail 帳戶的方式有很多種,常見的包括釣魚網站(Phishing)、惡意軟體(Malware),甚至是社交工程攻擊(Social Engineering)。例如,駭客可能會偽裝成交易所客服,要求用戶提供驗證碼,或是透過假冒的 Google 登入頁面,讓受害者不經意地輸入自己的帳號密碼。一旦駭客成功取得 Gmail 登入資訊,再加上開啟的雲端同步功能,他們就能順利取得 2FA 驗證碼,讓受害者的防護形同虛設。
虛擬資產的詐騙方式千百種,這篇文章也可以看一看,推薦你閱讀:
加密貨幣詐騙怎麼防?Rug Pull 類型、特徵與6大防範措施全解析
Google Authenticator 這個設定暗藏風險
有另外一位活躍於 Threads 上的網紅 Ziiv 學長 表示,事情的問題可能就出在 Google Authenticator 的「雲端同步」功能中。
在駭客竊取了 Gmail 的登入資訊之後,如果受害者的雲端同步功能是開啟的狀態,這樣駭客只要在別的設備上登入 Gmail,就可以自動同步受害者的 2FA 驗證碼。這樣就像是受害者主動打開防護的大門,讓駭客可以順藤摸瓜,輕鬆盜取他的所有資料以及虛擬資產。
*2FA 是什麼:雙重要素驗證(2FA) 是一種身分識別和存取權管理方法,它會要求您提供兩種形式的身分識別,才會讓您存取資源和資料。 企業可以透過 2FA 進行監控,並協助保護其最容易受到攻擊的資訊和網路。
Ziv 學長認為,關閉雲端同步很重要,這樣即使駭客以各種手法入侵了你的 Gmail,也沒辦法取得 2FA 驗證碼,這樣防護機制才稱得上是有效!所以不能輕忽,除了你的 Google 帳號要設置雙重驗證機制之外,「保護 2FA 的取得方式」這件事也是十分重要。
該怎麼關閉雲端同步呢?
一、打開手機裡的 Google Authenticator
二、右上角的個人頭像給他按下去
三、選擇「在未登入帳戶的狀態下使用 Authenticator」
接著按下確認,就可以關閉雲端同步了。
當然,關閉雲端同步後,如果你的手機遺失或損壞,那些 2FA 驗證碼可就真的找不回來了(聽起來就像是要用人生來驗證資產安全與便利性之間的選擇)。像浪編自己想了想,虛擬資產好像沒多少,手機遺失的機率倒是挺高的……所以我還是選擇開啟同步功能吧。(笑)
但如果你的資產比手機貴,那就別再猶豫了,快去關閉雲端同步,保護好你的帳戶!
自己的帳號安全自己顧
雙重驗證雖然能提升安全性,但如果 2FA 變成駭客的 ‘自助餐’,那就糟糕了。所以,雲端同步開還是不開?這題沒有標準答案,但唯一的標準是——千萬別讓駭客比你更懂你的安全設定。畢竟,資產雖然能賺回來,心態崩了可就難救了!
推薦文章
外部活動
