雙種認證非阻駭客仙丹 微軟：可強化身份驗證

近幾年，各家科技公司不斷在倡導用戶開啟雙重認證，以提高個人帳號的安全性，但雙重認證只能提高駭客的入侵難度，但並不代表它是一個“百毒不侵”的功能。近日，微軟便稱，當世界出現全球性大規模的網絡釣魚攻擊活動時，即便啟用了雙重認證保護措施，有關釣魚活動依然可以挾持用戶的帳戶。

雙重認證又稱為MFA或是2FA，它是目前主流帳戶的安全標準，除了傳統的密碼，還要求用戶以自己所擁有或控制的東西，例如實體安全密鑰、指紋、臉部辨識或視網膜掃描等形式來輔助驗證身份。

MFA技術的廣泛使用為帳戶的安全度多添了一個門檻，並提高了駭客入侵用戶帳號的難度，但一些攻擊者如今已找到反擊方法。

微軟揭露，最新的全球性大規模網絡釣魚惡意攻擊的手法是以鎖定企業用戶端使用的Office 365 Email商務電子郵件為主要的特定目標，然後趁機發動變臉伎倆的惡意詐騙活動（或稱商務電子郵件入侵，簡稱BEC），利用偽裝成盜用帳戶者的身份，寄送“電匯資金”請求的郵件，並發信給與該帳號相關的業務合作伙伴，同時擅自把匯入資金的銀行帳號竄改為駭客的私人帳號，以從中牟利。

“由於此款新型態的惡意釣魚攻擊手法與詐騙伎倆並未夾帶惡意軟件，所以，相較於過去傳統的網絡釣魚活動，它更加難以偵測及被攔截，尤其是能巧妙繞過MFA雙重認證機制者，若沒有經過多方實體的查證與確認，就很容易誤入釣魚郵件設下的詐騙陷阱，以致用戶平白損失一大筆金錢。

對此，微軟提供方式，以助用戶抵禦商務電子郵件的入侵和攻擊，並協助用戶防範帳號遭盜用的網絡釣魚詐騙活動，同時，微軟建議可採取強化身份驗證與身份識別的資安防護技術。

換句話說，除了既有的MFA雙重認證機制（或稱2FA機制），同時，用戶還需要具備新一代支援FIDO v2.0版技術的網絡身份識別認證，如使用支援實體安全金鑰的USB裝置，以確保一旦不慎連線到假冒版的網站或網頁時，遭非法入侵的帳戶密碼將無法通過，這將能有效提升防護能力。

此外，在防範惡意攻擊活動方面，則可藉由定期監控與安全偵測，嚴加防範任何可疑非法登入、或帳號出現異常的登錄活動，以阻止攻擊者試圖使用來自不受信任的IP地址、或來自陌生裝置的攻擊方式，作為資訊安全防護的預防對策。