网络安全专家警告全球18亿Gmail用户，网安有一种新型恶意攻击软件可以有效绕开双重身份验证（2FA）的警告解防线，窃取用户账号资料。户新

双重身份验证是钓鱼线上账号的一道安全防护，用户在登录线上账号之前，软件要先输入从手机或电邮收到的可破接入码（access code）。

《每日邮报》报道，网安黑客现在针对双重身份验证制造出名为Astaroth恶意攻击工具，警告解诱导受害者访问假的户新Gmail登录页面，实时窃取账号密码等信息，钓鱼再输入到真正的软件Gmail页面，然后发送2FA给受害者。可破

受害者通过手机或邮件收到2FA代码，网安再输入到假Gmail页面后，警告解就会被Astaroth实时窃取，户新让黑客成功登录受害者的Gmail。

由于假网页不会跳出任何安全警示，因此受害者不会轻易察觉。唯一能避免网络钓鱼攻击的方法，就是不要点击任何可疑链接。

Astaroth的操作方式就好像黑客的中介，可以实时窃取账号和密码、2FA代码，以及浏览器文件（session cookies）。

除了钓鱼软件，出售Astaroth的暗网卖家还提供半年的软件更新服务，让黑客技术“领先”于网络安全技术。

网络安全专家警告说，黑客此次可能瞄准数十亿的电邮用户，以及使用第三方服务登录账号的人。