美国波士顿大学和爱荷华大学采用双因素身份验证来加强对用户登录凭证的保护。

　　2014年1月2日，美国波士顿大学的一些员工没有按预计的那样收到薪水。当天，约十几名教职工发现其工资没有被存入自己的银行账户。攻击者更改了受害者的直接存款信息，将这些钱收入囊中。该大学的IT安全团队在追踪该攻击时发现，该校160个人收到了网络钓鱼电子邮件，该邮件诱使该校工作人员点击一个链接并输入自己的登录信息，直接导致33个账户信息泄露，13名员工的工资不翼而飞。

　　该校执行董事兼信息安全官Quinn Shamblin表示，此网络钓鱼诈骗利用了波士顿大学的标志，并采用了可信的格式，看起来非常像从该校的IT安全办公室发出的。唯一可证明它是假冒信息的证据是错误名称的IT企业，以及波士顿大学的非官方网址。

　　“大多数标准网络钓鱼邮件都很容易识别，特点就是英语不正式、格式很糟糕等，但这封邮件很难识别，”Shamblin表示，“这封邮件成功地欺骗了33位非常聪明的人。”

　　在波士顿大学警告教职员工警惕欺诈活动后，攻击者发送了另一封网络钓鱼邮件，并将收件人导向另一个虚假钓鱼网站。Shamblin称：“发送这些邮件的人在密切关注我们的活动。这次攻击瞄准了更多的目标，并收到了大量回应。但这次我们确定了关于这种攻击的攻击指标，所以没人受到影响。”

　　与此同时，1200英里之外的爱荷华大学遭遇了类似的攻击。教职工收到了几乎相同的电子邮件，收件人被导向网络钓鱼网站，与爱荷华的自助服务员工门户网站很相似。

　　爱荷华大学高级主管兼信息安全官Jane Drews表示，攻击者在对爱荷华大学的系统进行侦察后，陆续在三个月的时间内将几个账号的钱转移至别处。这次攻击专门针对高薪的高管、教师和医务人员。

　　Drews表示：“我们的人力资源自助服务门户网站有足够的日志记录，可看到人们的每次点击，我们发现，有人在试图搜索整个系统并在捣乱。”

　　爱荷华大学在2013年11月发现了这次数据泄露事故，130多个自助服务账户被感染和访问，约30个账户的存款信息被更改。幸运的是，IT在下一个薪水日之前发现了这个攻击事件。

　　爱荷华大学立即作出了一些紧急修改。该大学封锁了其ERP系统内某些功能的所有远程访问，并对敏感功能添加了临时的第二因素身份验证。IT安全团队发送了电子邮件来告知用户有关网络钓鱼诈骗和紧急变更的信息。次日，攻击者又进行了新的网络钓鱼活动，来试图收集临时第二因素登录凭证，并继续尝试访问。

　　Drews谈到：“每次我们会作出变更或发出通知，他们都会利用这一点。”

　　在数据泄露事故发生后，这两所大学都开始采用相同的技术来帮助加强保护用户登录信息，即双因素身份验证技术。

　　如何保护登录凭证

　　Shamblin称：“网络钓鱼攻击并不是真正的问题，真正的问题在于受感染的登录凭证。” 波士顿大学和爱荷华大学都选择了Duo Security的双因素身份验证技术。Duo的解决方案操作很简单，并可用于移动设备，还不需要口令。Duo确认用户身份的方式包括使用智能手机应用程序、发送短信到设备、自动拨打手机或固定电话等。应用程序的用户可以点击“是”来确定登录，“否”来报告未经授权登录。

　　爱荷华大学已经在与Duo公司进行VPN试验，所以他们有与该供应商合作的经验，并且它们已经有少量许可证。爱荷华大学最初的注册遇到一些问题，于是该大学开发了一个工具来帮助用户注册。在注册后，大多数用户发现它非常容易使用。

　　曾经，双因素身份验证只针对管理人员;如今，波士顿大学决定对其所有教职工和学生执行双因素身份验证。他们通过各种方式来进行宣传，包括广播通知、发送消息、抓住重点人群、使用社交媒体、制定培训材料以及发布常见问题等。 并且这两所大学在其自助服务门户网站用横幅广告来宣传双因素身份验证，并提供了注册的链接，这被证明是最有效的方式。

(责任编辑：腰编辑)