網頁列印

內容來自網址: https://www.worldjournal.com/6496809/article-link/

首頁 財經大仁說財經

大仁說財經 | 掉包SIM卡,駭客在用戶和電信商間找到漏洞

帳戶被駭,大家都有責任。(Getty Images) 帳戶被駭,大家都有責任。(Getty Images)

當推特CEO多爾西(Jack Dorsey)的推特帳戶開始發出一連串奇怪的推文時,很明顯他的推特帳號已被竊取。但他400多萬粉絲不太明白的是,攻擊者如何能控制這位推特CEO的帳戶將近20分鐘的時間。

推特表示,駭客透過成功竊取手機號碼獲得多爾西的個資,該手機號碼由於電信商的「安全監督」而遭竊取。雖然推特在聲明中未使用「掉包SIM卡(SIM swapping)」這種說法,但安全專家將攻擊歸因於這種日益流行的策略。幾天之後,同樣的事情發生在擁有300多萬粉絲的女星克蘿伊莫瑞茲(Chloe Moretz)身上。

多爾西帳號被駭時的推特說明。(推特) 多爾西帳號被駭時的推特說明。(推特)

為了進行掉包SIM卡,取得他人電話號碼和其他個資的詐騙者會通知電信商,假裝成受害者並要求將該號碼轉移到新的SIM卡。如果假冒成功,可能包括提供出生日期或母親的婚前姓名,就可以開始登錄各種服務,如推特,以及更改其密碼。

在控制電話號碼後,攻擊者將收到一次性密碼簡訊,避開雙重身份認證的要求。一個自稱為Chuckling Squad的實體聲稱對多爾西和莫瑞茲的兩次攻擊,以及查爾斯(James Charles)和道森(Shane Dawson)等其他網紅負責。

推特CEO多爾西(Jack Dorsey)的推特帳戶被駭。(Getty Images) 推特CEO多爾西(Jack Dorsey)的推特帳戶被駭。(Getty Images)

雖然推特遭受攻擊引人注目,但臉書、Snap、微軟的LinkedIn和Pinterest都依賴類似的安全措施,讓它們的網站向SIM駭客開放,而駭客有時只是想要造成嚴重破壞,但其他時候卻有更多邪惡的意圖,比如訪問受害者的銀行憑證。

對於推特來說,劫持簡訊具有獨特的問題,因為它具有允許用戶透過發送簡訊就能發送推文的功能。

臉書、Snap、微軟的LinkedIn和Pinterest都依賴類似的安全措施登入帳號。(美聯社) 臉書、Snap、微軟的LinkedIn和Pinterest都依賴類似的安全措施登入帳號。(美聯社)

行動安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)說:「任何真的事物都比簡訊來得好。」「這些公司想要使用度,想要用戶積極參與,初始動機並未著重在安全性上。」

用戶也要負一些責任,他們通常擁有簡訊以外的多重身份認證選項。例如,就推特來說,用戶可以透過須密碼驗證的App建立帳戶,如Google Authenticator、Duo或Microsoft Authenticator。他們還可以購買生物安全密鑰,如YubiKey,它可以插入電腦的USB接口並驗證用戶身份。

YouTube產品經理雪曼(Todd Sherman)建議用戶設置一個VoIP號碼,該號碼與Google Voice等雲端服務聯繫,而非與特定手機聯繫。

在多爾西的帳號遭到駭客攻擊後,推特暫時關閉了簡訊功能,但隨後在某些「依賴簡訊推文的地方」重新啟用。推特發言人拒絕透露哪些國家已重新獲得此功能。

沒過多久,簡訊推文功能部分恢復。(推特) 沒過多久,簡訊推文功能部分恢復。(推特)

電信商也有責任

掉包SIM卡已經非常盛行,足以引起執法人員注意。在矽谷與地方、州和聯邦機構合作的REACT特別小組已緊盯掉包SIM卡一年多。今年5月,來自駭客組織的9人被指控使用掉包SIM卡竊取超過240萬元的加密貨幣。

其中一些被告為AT&T和Verizon工作,並被指控幫助外部犯罪分子獲取電話號碼以換取賄賂。他們涉入此案彰顯了電信商和大型網路公司在清除掉包SIM卡可發揮的核心作用。

電信商也要負部分責任。(美聯社) 電信商也要負部分責任。(美聯社)

讓人擔心的不僅是這些問題員工。掉包SIM卡通常涉及詐騙者使用欺騙性做法來說服客服中心員工將號碼移動到新的SIM卡。史特拉法奇說,只要有人類介入,就有受騙的風險。

他說,「如果你能說服工程師,就能取得授權。」「要解決這個問題就必需移除人為控制。」

電信商透過鼓勵或要求客戶在其帳戶中建立PIN碼來解決此問題。如果嘗試的駭客不知道相關的PIN碼,就不能進行手機SIM卡的掉包。

Sprint和AT&T允許用戶在線上建立密碼,而Verizon則是嚴格要求。去年年初,T-Mobile向客戶發出警告,建議他們建立密碼並將PIN碼劫持描述為「影響整個電信產業的行為」。

T-Mobile建議客戶建立密碼,並指駭客行為影響整體產業。(美聯社) T-Mobile建議客戶建立密碼,並指駭客行為影響整體產業。(美聯社)

但是,PIN碼並非萬無一失,因為如果用戶在某處寫下或儲存,駭客就有辦法找到它們。

Sprint發言人貝洛特(Lisa Belot)表示,該公司鼓勵客戶設置一個獨特的PIN碼。她補充說,如果有人試圖進行掉包SIM卡,他們需要通過提供個人識別碼或回答安全問題來驗證帳戶。她表示,Sprint採取安全措施來保護客戶的帳戶,但沒有詳細說明它的具體用途。

與Sprint合併的T-Mobile發言人表示,鼓勵客戶聯繫該公司,以了解可以採取的其他安全措施。

發言人說:「這些不僅是對電信客戶的犯罪攻擊,也是對電信商的攻擊。」「我們一直在努力阻止這些壞分子。」

掉包SIM卡是近日駭客慣用手法。(美聯社) 掉包SIM卡是近日駭客慣用手法。(美聯社)

史特拉法奇表示,密碼不是一種防止帳戶被掉包SIM卡的完全萬無一失方法,因為許多用戶選擇的代碼很容易猜到。

隨著SIM卡劫持事件繼續增加,電信安全倡導者呼籲電信商採取更多措施來阻止這一問題。但除了PIN碼之外,電信商很少提供公開細節說明防止掉包SIM卡攻擊所採取的其他步驟。

在全球其他地區,電信商越來越與銀行合作,進行即時SIM卡檢查,以防止欺詐和濫用。透過這種補救措施,電信商可以建立一個系統,銀行可以檢查電話記錄,查看與某個銀行帳戶相關的最近SIM卡轉換請求。如果檢測到最近的SIM卡更換,就可以防止發生欺詐性銀行轉帳。

密碼不是一種防止帳戶SIM卡被掉包的萬無一失方法。(Getty Images) 密碼不是一種防止帳戶SIM卡被掉包的萬無一失方法。(Getty Images)

史特拉法奇表示,電信應該更加透明地採取措施來遏制掉包SIM卡。他還駁斥了電信商將其策略保密以阻止駭客尋找對應方式的說法。

他說,「披露保護作法應該不是問題。這只是意味著它們正在做一些可能被攻破的措施,攻擊者可以繞過它,」「但沉默的安全措施無濟於事。」

➤➤➤點我看更多 大仁說財經



Copyright 2019 世界新聞網-北美華文新聞、華商資訊. All rights reserved.