大仁说财经 | 掉包SIM卡，骇客在用户和电信商间找到漏洞

当推特CEO多尔西(Jack Dorsey)的推特账户开始发出一连串奇怪的推文时，很明显他的推特账号已被窃取。但他400多万粉丝不太明白的是，攻击者如何能控制这位推特CEO的账户将近20分钟的时间。

推特表示，骇客透过成功窃取手机号码获得多尔西的个资，该手机号码由于电信商的“安全监督”而遭窃取。虽然推特在声明中未使用“掉包SIM卡(SIM swapping)”这种说法，但安全专家将攻击归因于这种日益流行的策略。几天之后，同样的事情发生在拥有300多万粉丝的女星克萝伊莫瑞兹(Chloe Moretz)身上。

多尔西账号被骇时的推特说明。（推特）

为了进行掉包SIM卡，取得他人电话号码和其他个资的诈骗者会通知电信商，假装成受害者并要求将该号码转移到新的SIM卡。如果假冒成功，可能包括提供出生日期或母亲的婚前姓名，就可以开始登录各种服务，如推特，以及更改其密码。

在控制电话号码后，攻击者将收到一次性密码简讯，避开双重身份认证的要求。一个自称为Chuckling Squad的实体声称对多尔西和莫瑞兹的两次攻击，以及查尔斯(James Charles)和道森(Shane Dawson)等其他网红负责。

推特CEO多尔西(Jack Dorsey)的推特账户被骇。（Getty Images）

虽然推特遭受攻击引人注目，但脸书、Snap、微软的LinkedIn和Pinterest都依赖类似的安全措施，让它们的网站向SIM骇客开放，而骇客有时只是想要造成严重破坏，但其他时候却有更多邪恶的意图，比如访问受害者的银行凭证。

对于推特来说，劫持简讯具有独特的问题，因为它具有允许用户透过发送简讯就能发送推文的功能。

脸书、Snap、微软的LinkedIn和Pinterest都依赖类似的安全措施登入账号。（美联社）

行动安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)说：“任何真的事物都比简讯来得好。”“这些公司想要使用度，想要用户积极参与，初始动机并未着重在安全性上。”

用户也要负一些责任，他们通常拥有简讯以外的多重身份认证选项。例如，就推特来说，用户可以透过须密码验证的App建立账户，如Google Authenticator、Duo或Microsoft Authenticator。他们还可以购买生物安全密钥，如YubiKey，它可以插入电脑的USB接口并验证用户身份。

YouTube产品经理雪曼(Todd Sherman)建议用户设置一个VoIP号码，该号码与Google Voice等云端服务联系，而非与特定手机联系。

在多尔西的账号遭到骇客攻击后，推特暂时关闭了简讯功能，但随后在某些“依赖简讯推文的地方”重新启用。推特发言人拒绝透露哪些国家已重新获得此功能。

没过多久，简讯推文功能部分恢复。（推特）

电信商也有责任

掉包SIM卡已经非常盛行，足以引起执法人员注意。在硅谷与地方、州和联邦机构合作的REACT特别小组已紧盯掉包SIM卡一年多。今年5月，来自骇客组织的9人被指控使用掉包SIM卡窃取超过240万元的加密货币。

其中一些被告为AT&T和Verizon工作，并被指控帮助外部犯罪分子获取电话号码以换取贿赂。他们涉入此案彰显了电信商和大型网络公司在清除掉包SIM卡可发挥的核心作用。

电信商也要负部分责任。（美联社）

让人担心的不仅是这些问题员工。掉包SIM卡通常涉及诈骗者使用欺骗性做法来说服客服中心员工将号码移动到新的SIM卡。史特拉法奇说，只要有人类介入，就有受骗的风险。

他说，“如果你能说服工程师，就能取得授权。”“要解决这个问题就必需移除人为控制。”

电信商透过鼓励或要求客户在其账户中建立PIN码来解决此问题。如果尝试的骇客不知道相关的PIN码，就不能进行手机SIM卡的掉包。

Sprint和AT&T允许用户在线上建立密码，而Verizon则是严格要求。去年年初，T-Mobile向客户发出警告，建议他们建立密码并将PIN码劫持描述为“影响整个电信产业的行为”。

T-Mobile建议客户建立密码，并指骇客行为影响整体产业。（美联社）

但是，PIN码并非万无一失，因为如果用户在某处写下或储存，骇客就有办法找到它们。

Sprint发言人贝洛特(Lisa Belot)表示，该公司鼓励客户设置一个独特的PIN码。她补充说，如果有人试图进行掉包SIM卡，他们需要通过提供个人识别码或回答安全问题来验证账户。她表示，Sprint采取安全措施来保护客户的账户，但没有详细说明它的具体用途。

与Sprint合并的T-Mobile发言人表示，鼓励客户联系该公司，以了解可以采取的其他安全措施。

发言人说：“这些不仅是对电信客户的犯罪攻击，也是对电信商的攻击。”“我们一直在努力阻止这些坏分子。”

史特拉法奇表示，密码不是一种防止账户被掉包SIM卡的完全万无一失方法，因为许多用户选择的代码很容易猜到。

随着SIM卡劫持事件继续增加，电信安全倡导者呼吁电信商采取更多措施来阻止这一问题。但除了PIN码之外，电信商很少提供公开细节说明防止掉包SIM卡攻击所采取的其他步骤。

在全球其他地区，电信商越来越与银行合作，进行即时SIM卡检查，以防止欺诈和滥用。透过这种补救措施，电信商可以建立一个系统，银行可以检查电话记录，查看与某个银行账户相关的最近SIM卡转换请求。如果检测到最近的SIM卡更换，就可以防止发生欺诈性银行转账。

史特拉法奇表示，电信应该更加透明地采取措施来遏制掉包SIM卡。他还驳斥了电信商将其策略保密以阻止骇客寻找对应方式的说法。

他说，“披露保护作法应该不是问题。这只是意味着它们正在做一些可能被攻破的措施，攻击者可以绕过它，”“但沉默的安全措施无济于事。”

➤➤➤点我看更多 大仁说财经