导致多因素认证失效！Gmail用户务必关闭这个“安全后门”

3 小时前作者：GoUpSec

谷歌Gmail的多因素认证（MFA）被看作是个人隐私防护和邮件安全的标杆。然而，即使是这道隐私的最后防线，居然存在一个无需技术门槛即可利用的“安全后门”。

Gmail的“安全后门”

来自谷歌威胁情报小组（GTIG）和加拿大公民实验室（The Citizen Lab）的联合调查发现，一个名为UNC6293的俄罗斯黑客组织，在2024年4月至6月间，利用Gmail的“应用专用密码”（App-specific password）这一功能，成功绕过了Gmail的双因素认证机制，入侵了多名知名学者和批评俄罗斯政权人士的邮箱账户。

“应用专用密码”原本是为兼容旧版或不安全的应用所设计的一种临时访问令牌，允许用户在启用2FA的情况下授权第三方应用访问Gmail账户，而无需再次输入动态验证码。正是这项看似合理的功能，却成了黑客组织实施攻击的“安全后门”。

攻击流程：“文火慢炖”的钓鱼剧本

此次攻击并不依赖急火攻心的恫吓式传统钓鱼手法，而是采用了缓慢铺陈、精心设计的社交工程策略。

攻击者伪装成美国国务院的“ClaudieS. Weber”，以“邀请参加闭门政策讨论会”为名，向目标人物发送邮件。虽然邮件来源于Gmail地址，但抄送行中添加了多个“@state.gov”的政府邮箱，增强了其可信度。

当受害者表现出兴趣但因时间冲突无法参与时，黑客进一步诱导其加入所谓的“美国国务院MSDoS宾客平台”，声称这是一个能让外部人员参与未来会议的安全协作平台。

随后，对方发送了一份PDF文件，详细说明如何在Google账户中创建“应用专用密码”，并要求将生成的密码分享给“系统管理员”，以便注册平台身份。

事实上，这个“应用专用密码”一旦交出，就等同于为攻击者打开了后门通道——无需再通过双因素认证，即可直接访问受害者的整个Gmail账户。

一次社会工程攻击“创新”

根据谷歌的研判，UNC6293极有可能是APT29（又名Nobelium、Cozy Bear）的一个分支。APT29自2008年以来就活跃在全球范围，曾被指与俄罗斯对外情报局（SVR）有关，专门针对政府、研究机构和智库发起网络攻击。

这次攻击的目标包括俄罗斯问题专家Keir Giles，显然是一次有目的、有方向、有资源支持的国家级网络渗透行动。

除了美国国务院为诱饵的钓鱼攻击外，研究人员还发现，UNC6293还发起了以乌克兰议题和微软账号为钓饵的另一路攻击行动。他们还使用了住宅代理IP和虚拟专用服务器（VPS）来隐藏真实身份，增强匿名性。

此次事件最令人警惕之处，不仅在于技术手法的创新，而是对人类信任心理的精准操控。攻击者并未试图直接暴力破解安全系统，而是通过建立“可信身份”、“权威背景”以及“合作平台”这三重包装，让受害者主动交出钥匙。