双因素认证（简称2FA）是当前主流在线服务的重要安全措施之一，从银行到Google，从Facebook到政府机构都逐渐采用了这项安全措施。在双因素认证保护账号需求进行登录操作的时候需要输入以SMS短信发送的验证码，否则即使在输入正确的密码也会被系统所阻止。

在本周末，Clearbit.com的联合创始人Alex MacCaw在个人推特上分享了他近日收到的一条短信。匿名攻击者相MacCaw发送了一条冒充Google的SMS短信，信息内容如下:

(Google™ 通知)我们近期注意到来自IP地址136.91.38.203（加州瓦卡维尔）尝试登录[email protected]账号的可疑行为。如果你并未在上述地址进行过登陆，将会暂时锁定你的账号。请回复你接收到的六位验证码，如果你确认识别这次登陆，请忽略这个警告。

基本上，攻击者欺诈受害人接收双因素认证识识别码，以便于为随后进行的非法登录尝试做准备。这种欺诈手段通常已经获得了MacCaw的账号密码，而如果消费者错认为这是双因素系统锁定账号的操作，将六位验证码发送给Google，其实MacCaw的发送对象是欺诈者，后者就能进入登陆页面访问他的账号。