当多尔西(Jack Dorsey)上周开始发送一连串奇怪的推文时,很明显他的推特账号已被窃取。但他400多万粉丝不太明白的是,攻击者如何控制这位推特CEO的账户近20分钟。
推特表示,骇客透过成功窃取手机号码获得多尔西的个资,该手机号码由于电信商的“安全监督”而遭窃取。虽然推特在声明中未使用“SIM卡转换(SIM swapping)”这种说法,但安全专家将攻击归因于这种日益流行的策略。
为了进行SIM卡转换,取得他人电话号码和其他个资的诈骗者会通知电信商,假装成受害者并要求将该号码转移到新的SIM卡。如果假冒成功,可能包括提供出生日期或母亲的婚前姓名,就可以开始登录各种服务,如推特,以及更改其密码。
在控制电话号码后,攻击者将收到一次性密码简讯,避开双重身份认证的要求。一个自称为Chuckling Squad的实体承认对多尔西发动攻击。
虽然推特遭受攻击引人注目,但脸书、Snap、微软的LinkedIn和Pinterest都依赖类似的安全措施,让它们的网站向SIM骇客开放,而骇客有时只是想要造成严重破坏,但其他时候却有更多邪恶的意图,比如访问受害者的银行凭证。
对于推特来说,劫持简讯具有独特的问题,因为它具有允许用户透过发送简讯就能发送推文的功能。
行动安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)说:“任何真实的事物都比简讯来得好。”“企业者想扩大使用度,想要用户积极参与,初始动机并未着重在安全性上。”
用户也要负一些责任,他们通常拥有简讯以外的多重身份认证选项。例如,就推特来说,用户可以透过须密码验证的App建立账户,如Google Authenticator、Duo或Microsoft Authenticator。他们还可以购买生物安全密钥,如YubiKey,它可以插入电脑的USB接口并验证用户身份。
在多尔西的账号遭到骇客攻击后,推特暂时关闭了简讯功能,但随后在某些“依赖简讯推文的地方”重新启用。推特发言人拒绝透露哪些国家已重新获得此功能。
电信商透过鼓励或要求客户在其账户中建立PIN码来解决此问题。如果尝试的骇客不知道相关的PIN码,就不能进行电话号码的转移。
Sprint和AT&T允许用户在线上建立密码,而Verizon则是严格要求。去年年初,T-Mobile向客户发出警告,建议他们建立密码并将PIN码劫持描述为“影响整个电信产业的行为”。
随着SIM劫持事件继续增加,电信安全倡导者呼吁电信商采取更多措施来阻止这一问题。但除了PIN码之外,电信商很少提供公开细节说明防止SIM卡转换攻击所采取的其他步骤。
