私の知識によると、フィッシングは基本的にメールIDとパスワードのみを盗みますよね?
「フィッシング」とは、攻撃者が被害者が信頼する誰かになりすますオンラインソーシャルエンジニアリング攻撃の広義の用語です。フィッシング攻撃には多くの目標があります。基本的に、ユーザーがなりすましエンティティに代わってユーザーを説得できるすべてのもの。 2FAは特定の攻撃から保護し、2FAの一部の形式は他の形式よりも優れた保護を提供しますが、完全なソリューションではありません。
資格情報のフィッシングは、セッショントークンのXSSのようなものです。それは明白で恐ろしく、完全に正当なターゲットですが、攻撃者が実行できる唯一のことからは遠く、その目標を明確に保護する緩和策は通常、他の目標を防ぐためにほとんどまたは何もしません。 FIDO/U2Fセキュリティキーは、Webベースのフィッシングページに対する優れた保護を提供しますが、一貫して使用する必要があります。アプリへのアクセスの承認、コードの実行(ブラウザーや電話などのサンドボックス内、または直接コンピューター上)、または被害者の資格情報やログインセッションを直接盗むことを含まないその他の攻撃に対する保護は提供されません。
想定:フィッシングとは、GMailのような偽のWebページを作成し、ユーザーをだましてユーザー名とパスワードを入力させることを意味します。
Gmailには2種類の2FAがあります
1)電話プロンプト:これを無効にするために、攻撃者がしなければならないことは、盗んだユーザー名とパスワードですぐにログインを試みることです。ログインしていると思うので(結局のところ、フィッシングサイトにログインしようとしただけです)、おそらくそれを確認します。ブラウザや場所などの問題に気づくことで、より知識のあるユーザーがここに保存されるかもしれませんが、多くの人はクリックするだけです。 (フィッシングサイトを使用したばかりなので、さらに詳しい知識のある攻撃者はブラウザ/ OSと場所を知っており、トラブルになりすまして、それを偽装することもできます。)
2)SMSコード:再び攻撃者は、携帯電話番号も要求するサイトを構築し、フィッシングされた情報をすぐに使用する必要があります。SMSを取得し、入力します。最初のフィッシングページがあなたを騙して情報を入力させた場合、ステップ2でそれが偽物であることに突然気付くことはまずありません。
3)FIDO U2Fドングル/鍵トークン:ユーザー名とパスワードをフィッシングサイトに入力するように騙された場合、実際には本当のセキュリティを提供します。攻撃者は、mail.googiie.hackerland用に生成させたトークンを使用して、実際のGoogleドメインにアクセスすることはできません。