压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

本應保護賬戶安全的一項功能——綁定手機號，已成 SIM 交換事件中的攻擊方法。且看其運行機制并了解該如何防護。

作者簡介：Nicole Sette，著名估值及咨詢服務公司 Duff & Phelps 旗下 Kroll 部門網(wǎng)絡(luò)風險實踐主管，注冊信息系統(tǒng)安全師 (CISSP)，15 年網(wǎng)絡(luò)情報調(diào)查與技術(shù)分析經(jīng)驗。Nicole 作為網(wǎng)絡(luò)情報分析師為 FBI 工作近 10 年時間，并在美國陸軍通信-電子司令部任了四年情報專家。她畢業(yè)于斯坦福大學，并在美國國家情報大學獲得戰(zhàn)略情報碩士學位。

在 Kroll，Nicole 創(chuàng)建戰(zhàn)略網(wǎng)絡(luò)情報產(chǎn)品，并執(zhí)行各類網(wǎng)絡(luò)安全調(diào)查，包括涉及電子郵件入侵的事件響應、SIM 交換、賬戶接管、勒索軟件和惡意軟件計算機入侵。除了了解網(wǎng)絡(luò)相關(guān)事件中人的因素，Nicole 還具備很強的技術(shù)專業(yè)技能，包括網(wǎng)絡(luò)分析、工業(yè)網(wǎng)絡(luò)安全、取證和事件處理，以及暗網(wǎng)調(diào)查。

作為網(wǎng)絡(luò)風險調(diào)查公司董事和前 FBI 網(wǎng)絡(luò)分析師，我非常熟悉 SIM 交換威脅。對很多人而言，說到 SIM 交換就會聯(lián)想起黑客接入一家電話公司，或者外國間諜置換 SIM 卡以避免政府監(jiān)視的場景。事實上，SIM 交換是全球電話公司日常進行的一項合法功能。最基本的層面上，電話服務提供商使用 SIM 交換將用戶現(xiàn)有手機號轉(zhuǎn)至新手機和 SIM 卡上。

不幸的是，罪犯也知道怎么使用 SIM 交換來攫取利益。罪犯誘騙或賄賂電話公司雇員將受害者手機號遷至其控制下的新手機和 SIM 卡。但為什么罪犯想要控制他人的手機號呢？

這就涉及到現(xiàn)代手機身份驗證的概念了。在線服務提供商使用雙因子身份驗證 (2FA) 方法，通過向賬戶之前綁定的手機號發(fā)送一次性密碼來驗證用戶身份。雖然這是重置遺忘密碼的簡便方式，卻也讓控制該手機號的任何人都可以訪問關(guān)聯(lián)此號碼的電子郵件、社交媒體及金融賬戶。如果希臘戰(zhàn)士阿基里斯代表 2FA 所有榮光，那基于短信的手機身份驗證就是阿基里斯之踵。

一個手機號連黑三個賬戶

靠手機號黑掉某人的想法太過迷人，我決定模擬僅用自己的手機號黑掉自身賬戶。先從推特賬戶開始。我選擇了 “忘記密碼？”，然后看到了 “輸入手機號” 的選項。此時我根本不記得曾經(jīng)給我的推特賬戶關(guān)聯(lián)過手機號，但我決定嘗試一下。

我的手機很快就收到了推特發(fā)出的一次性密碼。而且鎖屏通知上就能看到。將此密碼輸入推特網(wǎng)站，彈出新密碼設(shè)置窗口，賬戶完全控制權(quán)就此入手。由于短信通知出現(xiàn)在手機鎖屏上，只要拿到我的手機且知道我手機號，任何人都可以接管我的推特賬戶。

最為困擾的是，知道我手機號的任一家庭成員、朋友或同事都能把號碼填進推特的“忘記密碼？”字段，隨手拿過我已鎖屏的手機就能看到該一次性密碼，然后登錄我推特賬戶一覽無余。甚至都不需要 SIM 交換。

這一場景的隱私問題令人坐立難安，且還凸顯出用戶賬戶控制權(quán)失竊的潛在嚴重影響——獲得賬戶控制權(quán)的人有可能從其社交媒體賬戶發(fā)布攻擊性內(nèi)容，甚至將賬戶用于犯罪。入侵者（比如同床異夢的配偶或懷恨在心的同事）僅需知道受害者手機號和能看到手機，即使手機鎖屏。我確實收到了推特發(fā)送的一封密碼已重置通知郵件，但攻擊者可以同樣的技術(shù)獲取我電子郵件賬戶權(quán)限，然后刪除這些通知。

乘著推特賬戶入侵成功的東風，我用同樣的技術(shù)搞定了我過時的 Hotmail 賬戶。步驟包括點擊 “忘記密碼”，輸入我（很好猜）的電子郵件地址，在彈框里輸入我的手機號。然后，一次性密碼就發(fā)到了我手機上，讓我得以重置密碼，查閱多年來的電子郵件通信，完全跳過了我之前為此賬戶設(shè)置的超復雜密碼。我都開始看到 SIM 換客或者八卦人士有多容易從一個手機號窺探無數(shù)賬戶了。

此時我處于 “攻擊者思維” 模式，在我的 Hotmail 收件箱里搜索財務報表。我發(fā)現(xiàn)了一封來自金融機構(gòu)的郵件，點擊了 “查看報表”。黑掉該金融賬戶所需的工作不僅僅是輸入一個手機號那么簡單，但也就多了一步輸入身份證號——這東西通常可從暗網(wǎng)市場上買到。實驗進行到這里，我已經(jīng)入手了一個社交媒體賬戶、一個存了財務報表的電子郵件賬戶，還有一個可以轉(zhuǎn)出資金的金融賬戶。

經(jīng)驗教訓

我從用自己的手機黑掉自身賬戶的實驗中學到了什么呢？最主要的是，如果我的賬戶沒跟我手機綁定，僅僅由我設(shè)置的復雜密碼保護，或許還更安全些。

很多在線提供商建議綁定手機作為實現(xiàn) 2FA 的一種方式。2FA 的兩個驗證因素：一個是你知道的東西，另一個是你擁有的東西。實際上，2FA 用于在一開始將用戶手機號綁定在線賬戶；但手機號確認之后，賬戶身份驗證過程通常就倒退到單因子驗證（就一個手機號）了。

由基于短信的身份驗證場景激發(fā)出來的虛假安全感，令用戶面對 SIM 交換攻擊和隱私漏洞毫無防備。除非你禁用了手機的某些通知功能，否則能看到你鎖屏手機的人就可能訪問你的社交媒體、電子郵件甚至金融賬戶，所需僅為公開可知的手機號和電子郵件地址。

結(jié)語

本次實驗促使我立即做出一些改變，建議各位讀者參考照做：

1. 我將刪除我在線賬戶中的手機號，以復雜密碼和更健壯的 2FA 選項來驗證在線賬戶，比如 Google Authenticator、Microsoft Authenticator、Duo 或 YubiKey 之類 USB 硬件驗證設(shè)備。（我顯然不會把自己的手機號關(guān)聯(lián)上這些 2FA 應用。）

2. 我將通過存檔和備份電子郵件來保護敏感郵件內(nèi)容，以防被黑時遭入侵者讀取。

3. 為抵御 SIM 交換攻擊，我將給我的移動賬戶添加 PIN 碼，并計劃要求 SIM 交換僅能本人親自做出。

4. 為防來自機會主義偷窺者的手機身份驗證攻擊，我已經(jīng)禁用了手機的鎖屏通知功能。

最重要的是：宣傳為使賬戶更安全的一項關(guān)鍵功能——綁定手機號，已在越來越多的 SIM 交換事件中被實際證明是種攻擊途徑。這種攻擊的安全和隱私影響很嚴重，業(yè)界需以更安全的身份驗證機制代替基于短信的手機身份驗證。