诈骗新闻时有所闻，币圈当然也不例外。这不仅因为加密货币市场本身仍带有一定的技术门槛，也因为「看不见、摸不著」的特性让人难以信任（当然这里指的是区块链，不是灵异事件）。因此，有些人对加密货币敬而远之，而另一部分人则层层加密，设定密码、简讯验证、Face ID、双重验证、指纹解锁，甚至备妥私钥，以为这样就能万无一失……但真的如此吗？

启用 Google 双重验证还是被盗

在社群媒体 Threads 上有一名用户 jimmie394313 分享了自己 Google 信箱被盗，结果不到五分钟，他的 BingX 交易所资产就被盗领了！更让人震惊的是，他明明已经启用了双重验证（2FA），这到底是怎么发生的？

当时他还不知道为什么会被盗，还表示自己有设置 Google 的双重验证，消息一出就引起网友讨论，想找出为什么防护机制这么多却还是被盗。殊不知，问题可能就是出在 Google 的 Authenticator 的这个设定。

骇客是怎么窃取帐户的？

不过这里要先说，其实骇客窃取 Gmail 帐户的方式有很多种，常见的包括钓鱼网站（Phishing）、恶意软体（Malware），甚至是社交工程攻击（Social Engineering）。例如，骇客可能会伪装成交易所客服，要求用户提供验证码，或是透过假冒的 Google 登入页面，让受害者不经意地输入自己的帐号密码。一旦骇客成功取得 Gmail 登入资讯，再加上开启的云端同步功能，他们就能顺利取得 2FA 验证码，让受害者的防护形同虚设。

虚拟资产的诈骗方式千百种，这篇文章也可以看一看，推荐你阅读：

加密货币诈骗怎么防？Rug Pull 类型、特征与6大防范措施全解析 

Google Authenticator 这个设定暗藏风险

有另外一位活跃于 Threads 上的网红 Ziiv 学长 表示，事情的问题可能就出在 Google Authenticator 的「云端同步」功能中。

在骇客窃取了 Gmail 的登入资讯之后，如果受害者的云端同步功能是开启的状态，这样骇客只要在别的设备上登入 Gmail，就可以自动同步受害者的 2FA 验证码。这样就像是受害者主动打开防护的大门，让骇客可以顺藤摸瓜，轻松盗取他的所有资料以及虚拟资产。

*2FA 是什么：双重要素验证（2FA） 是一种身分识别和存取权管理方法，它会要求您提供两种形式的身分识别，才会让您存取资源和资料。 企业可以透过 2FA 进行监控，并协助保护其最容易受到攻击的资讯和网路。

Ziv 学长认为，关闭云端同步很重要，这样即使骇客以各种手法入侵了你的 Gmail，也没办法取得 2FA 验证码，这样防护机制才称得上是有效！所以不能轻忽，除了你的 Google 帐号要设置双重验证机制之外，「保护 2FA 的取得方式」这件事也是十分重要。

该怎么关闭云端同步呢？

一、打开手机里的 Google Authenticator

二、右上角的个人头像给他按下去

三、选择「在未登入帐户的状态下使用 Authenticator」

接著按下确认，就可以关闭云端同步了。

当然，关闭云端同步后，如果你的手机遗失或损坏，那些 2FA 验证码可就真的找不回来了（听起来就像是要用人生来验证资产安全与便利性之间的选择）。像浪编自己想了想，虚拟资产好像没多少，手机遗失的机率倒是挺高的……所以我还是选择开启同步功能吧。（笑）

但如果你的资产比手机贵，那就别再犹豫了，快去关闭云端同步，保护好你的帐户！

自己的帐号安全自己顾

双重验证虽然能提升安全性，但如果 2FA 变成骇客的 ‘自助餐’，那就糟糕了。所以，云端同步开还是不开？这题没有标准答案，但唯一的标准是——千万别让骇客比你更懂你的安全设定。毕竟，资产虽然能赚回来，心态崩了可就难救了！

〈用了Google双重验证，骇客仍5分钟盗光加密货币？Authenticator这设定藏风险！〉这篇文章最早发布于《NONE LAND 浪链》。