網頁列印

內容來自網址: https://www.worldjournal.com/6496776/article-link/

首頁 財經

推特遭駭關鍵:SIM卡轉換

多爾西400多萬粉絲不太明白,攻擊者如何控制這位推特CEO的帳戶近20分鐘。(Getty Images) 多爾西400多萬粉絲不太明白,攻擊者如何控制這位推特CEO的帳戶近20分鐘。(Getty Images)

當多爾西(Jack Dorsey)上周開始發送一連串奇怪的推文時,很明顯他的推特帳號已被竊取。但他400多萬粉絲不太明白的是,攻擊者如何控制這位推特CEO的帳戶近20分鐘。

推特表示,駭客透過成功竊取手機號碼獲得多爾西的個資,該手機號碼由於電信商的「安全監督」而遭竊取。雖然推特在聲明中未使用「SIM卡轉換(SIM swapping)」這種說法,但安全專家將攻擊歸因於這種日益流行的策略。

為了進行SIM卡轉換,取得他人電話號碼和其他個資的詐騙者會通知電信商,假裝成受害者並要求將該號碼轉移到新的SIM卡。如果假冒成功,可能包括提供出生日期或母親的婚前姓名,就可以開始登錄各種服務,如推特,以及更改其密碼。

在控制電話號碼後,攻擊者將收到一次性密碼簡訊,避開雙重身份認證的要求。一個自稱為Chuckling Squad的實體承認對多爾西發動攻擊。

雖然推特遭受攻擊引人注目,但臉書、Snap、微軟的LinkedIn和Pinterest都依賴類似的安全措施,讓它們的網站向SIM駭客開放,而駭客有時只是想要造成嚴重破壞,但其他時候卻有更多邪惡的意圖,比如訪問受害者的銀行憑證。

對於推特來說,劫持簡訊具有獨特的問題,因為它具有允許用戶透過發送簡訊就能發送推文的功能。

行動安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)說:「任何真實的事物都比簡訊來得好。」「企業者想擴大使用度,想要用戶積極參與,初始動機並未著重在安全性上。」

用戶也要負一些責任,他們通常擁有簡訊以外的多重身份認證選項。例如,就推特來說,用戶可以透過須密碼驗證的App建立帳戶,如Google Authenticator、Duo或Microsoft Authenticator。他們還可以購買生物安全密鑰,如YubiKey,它可以插入電腦的USB接口並驗證用戶身份。

在多爾西的帳號遭到駭客攻擊後,推特暫時關閉了簡訊功能,但隨後在某些「依賴簡訊推文的地方」重新啟用。推特發言人拒絕透露哪些國家已重新獲得此功能。

電信商透過鼓勵或要求客戶在其帳戶中建立PIN碼來解決此問題。如果嘗試的駭客不知道相關的PIN碼,就不能進行電話號碼的轉移。

Sprint和AT&T允許用戶在線上建立密碼,而Verizon則是嚴格要求。去年年初,T-Mobile向客戶發出警告,建議他們建立密碼並將PIN碼劫持描述為「影響整個電信產業的行為」。

隨著SIM劫持事件繼續增加,電信安全倡導者呼籲電信商採取更多措施來阻止這一問題。但除了PIN碼之外,電信商很少提供公開細節說明防止SIM卡轉換攻擊所採取的其他步驟。



data-matched-content-rows-num="10,4"
data-matched-content-columns-num="1,2"
data-matched-content-ui-type="image_sidebyside,image_stacked"

Copyright 2019 世界新聞網-北美華文新聞、華商資訊. All rights reserved.