两步验证是针对那种只要知道密码就能登陆的情况，第一步先输入登录密码，第二步再输入一个短信验证码(比如drobpx)或者认证器生成的一小段代码(比如google和steam)。看似好像坚不可摧

你不可能或者很难同时获得用户的密码和验证码。可是钓鱼攻击可以完美破解两步验证，只需要做一个和目标网站一模一样的网站（很简单），给用户发送一封邮件，说账户异地登陆了，必须改密码，然后截取用户输入的密码和验证码之后迅速登陆即可。国外有很多重量级的人物邮箱都被曾经攻破过，难道他们不知道两步验证？非也，钓鱼攻击并不是针对技术上的薄弱点（网页有漏洞），而是针对一个人的安全意识。

 

比如：1 i l三个字母的区分，o 0的区分。有些人有一些思维定势，觉得只要域名是官方的就不会存在钓鱼攻击，这种想法很可怕，比如url中常见的跳转url的参数就极有可能被用来钓鱼，百度和google都有这种跳转参数。

还有利用data URI钓鱼的，

随着移动互联网的发展短网址和二维码都给钓鱼攻击带来了便利，还有移动浏览器本身的地址栏就比较短，有时候不能够容纳较长的url，用户也容易上当。

总之呢，钓鱼攻击也是随着技术的发展与科技的进步而改变的，普通用户还是要多增长见识才是。