黑客骇推特 靠的是关键技术 SIM转换


在网络上没有谁是安全的。从普通网名到公司CEO,网络安全威胁无处不在。

据外媒 Securityaffairs 报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。

但他400多万粉丝不太明白的是,攻击者如何控制这位推特CEO的帐户近20分钟。

推特表示,骇客透过成功窃取手机号码获得多尔西的个资,该手机号码由于电信商的“安全监督”而遭窃取。虽然推特在声明中未使用“SIM转换”这种说法,但安全专家将攻击归因于这种日益流行的策略。几天之后,同样的事情发生在拥有300多万粉丝的女星克萝伊莫瑞兹(Chloe Moretz)身上。

为了进行SIM转换,取得他人电话号码和其他个资的诈骗者会通知电信商,假装成受害者并要求将该号码转移到新的SIM卡。如果假冒成功,可能包括提供出生日期或母亲的婚前姓名,就可以开始登录各种服务,如推特,以及更改其密码。

在控制电话号码后,攻击者将收到一次性密码短信,避开双重身份认证的要求。一个自称为Chuckling Squad的实体声称对多尔西和莫瑞兹的两次攻击。

虽然推特遭受攻击引人注目,但脸书、Snap、微软的LinkedIn和Pinterest都依赖类似的安全措施,让它们的网站向SIM骇客开放,而骇客有时只是想要造成严重破坏,但其他时候却有更多邪恶的意图,比如访问受害者的银行凭证。

对于推特来说,劫持短信具有独特的问题,因为它具有允许用户透过发送短信就能发送推文的功能。

行动安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)说:“任何真实的事物都比短信来得好。”“这些公司想要使用度,想要用户积极参与,初始动机并未着重在安全性上。”

用户也要负一些责任,他们通常拥有短信以外的多重身份认证选项。例如,就推特来说,用户可以透过须密码验证的App建立帐户,如Google Authenticator、Duo或Microsoft Authenticator。他们还可以购买生物安全密钥,如YubiKey,它可以插入电脑的USB接口并验证用户身份。

YouTube产品经理雪曼(Todd Sherman)建议用户设置一个VoIP号码,该号码与Google Voice等云端服务联系,而非与特定手机联系。

在多尔西的帐号遭到骇客攻击后,推特暂时关闭了短信功能,但随后在某些“依赖短信推文的地方”重新启用。推特发言人拒绝透露哪些国家已重新获得此功能。

电信商也有责任

SIM转换已经非常盛行,足以引起执法人员注意。在硅谷与地方、州和联邦机构合作的REACT特别小组已紧盯SIM转换一年多。今年5月,来自骇客组织的9人被指控使用SIM转换窃取超过240万元的加密货币。

其中一些被告为AT&T和Verizon工作,并被指控帮助外部犯罪分子获取电话号码以换取贿赂。他们涉入此案彰显了电信商和大型网络公司在清除SIM转换可发挥的核心作用。

让人担心的不仅是这些问题员工。SIM转换通常涉及诈骗者使用欺骗性做法来说服客服中心员工将号码移动到新的SIM卡。史特拉法奇说,只要有人类介入,就有受骗的风险。

他说,“如果你能说服工程师,就能取得授权。”“要解决这个问题就必需移除人为控制。”

电信商透过鼓励或要求客户在其帐户中建立PIN码来解决此问题。如果尝试的骇客不知道相关的PIN码,就不能进行电话号码的转移。

Sprint和AT&T允许用户在线上建立密码,而Verizon则是严格要求。去年年初,T-Mobile向客户发出警告,建议他们建立密码并将PIN码劫持描述为“影响整个电信产业的行为”。

但是,PIN码并非万无一失,因为如果用户在某处写下或储存,骇客就有办法找到它们。AT&T拒绝对其采取的其他措施发表评论,Verizon的代表也没有回应评论请求。

Sprint发言人贝洛特(Lisa Belot)表示,该公司鼓励客户设置一个独特的PIN码。她补充说,如果有人试图进行SIM转换,他们需要通过提供个人识别码或回答安全问题来验证帐户。她表示,Sprint采取安全措施来保护客户的帐户,但没有详细说明它的具体用途。

与Sprint合并的T-Mobile发言人表示,鼓励客户联系该公司,以了解可以采取的其他安全措施。

发言人说:“这些不仅是对电信客户的犯罪攻击,也是对电信商的攻击。”“我们一直在努力阻止这些坏分子。”

史特拉法奇表示,密码不是一种防止帐户被SIM转换的完全万无一失方法,因为许多用户选择的代码很容易猜到。

随着SIM劫持事件继续增加,电信安全倡导者呼吁电信商采取更多措施来阻止这一问题。但除了PIN码之外,电信商很少提供公开细节说明防止SIM转换攻击所采取的其他步骤。

在全球其他地区,电信商越来越与银行合作,进行即时SIM转换检查,以防止欺诈和滥用。透过这种补救措施,电信商可以建立一个系统,银行可以检查电话记录,查看与某个银行帐户相关的最近SIM转换请求。如果检测到最近的SIM换,就可以防止发生欺诈性银行转帐。

史特拉法奇表示,电信应该更加透明地采取措施来遏制SIM转换。他还驳斥了电信商将其策略保密以阻止骇客寻找对应方式的说法。

他说,“披露保护作法应该不是问题。这只是意味着它们正在做一些可能被攻破的措施,攻击者可以绕过它,”“但沉默的安全措施无济于事。”

来源: 《世界日报》

HCT编辑:蓝天

返回主页