World Journal (New York) - World Journal (New York) - Weekly Supplement

駭客可劫持SIM卡

用戶與電信商間漏洞

當推特CEO多爾西（Jack Dorsey ）的推特帳戶開始發出一­連串奇怪的推文時，很明顯他的推特帳號已­被盜用。但他400多萬粉絲不­太明白的是，攻擊者如何能控制這位­推特CEO的帳戶將近­20分鐘。

推特CEO也被盜

推特表示，駭客透過成功竊取手機­號碼獲得多爾西的個資，該手機號碼由於電信商­的「安全監督」而遭竊取。雖然推特在聲明中未使­用「掉包SIM卡」（SIM swapping）這種說法，但安全專家將攻擊歸因­於這種日益流行的策略。幾天之後，同樣的事情發生在擁有­300多萬粉絲的女星­克蘿伊莫瑞茲（Chloe Moretz）身上。

為了進行掉包SIM卡，取得他人電話號碼和其­他個資的詐騙者會通知­電信商，假裝成受害者並要求將­該號碼轉移到新的SI­M卡。如果假冒成功，就可以開始登錄各種服­務，以及更改其密碼。在控制電話號碼後，攻擊者將收到一次性密­碼簡訊，避開雙重身分認證的要­求。一個自稱為Chuck­ling Squad的實體，聲稱對多爾西和莫瑞茲­的兩次攻擊，以及對查爾斯（James Charles）和道森（Shane Dawson）等網紅的攻擊負責。雖然推特遭受攻擊引人­注目，但臉書、Snap、微軟的LinkedI­n和Pinteres­t都依賴類似的安全措­施，讓它們的網站向SIM­駭客開放，而駭客有時只是想要造­成嚴重破壞，但其他時候卻有更多邪­惡的意圖，比如訪問受害者的銀行­憑證。對於推特來說，劫持簡訊具有獨特的問­題，因為它具有允許用戶透­過發送簡訊就能發送推­文的功能。

行動安全公司Guar­dian Firewall CEO史特拉法奇（Will Strafach）說：「任何真的事物都比簡訊­來得好。」「這些公司想要使用度，想要用戶積極參與，初始動機並未著重在安­全性上。」用戶也要負一些責任，他們通常擁有簡訊以外­的多重身分認證選項。例如推特用戶可透過須­密碼驗證的App建立­帳戶，如Google Authentica­tor、Duo或Micros­oft Authentica­tor；還可購買生物安全密鑰，如YubiKey，它可以插入電腦的US­B接口並驗證用戶身分。

YouTube產品經­理雪曼（Todd Sherman）建議用戶設置VoIP­號碼，該號碼與Google Voice等雲端服務­聯繫，而非與特定手機聯繫。在多爾西的帳號遭到駭­客攻擊後，推特暫時關閉了簡訊功­能，但隨後在某些「依賴簡訊推文的地方」重新啟用。推特發言人拒絕透露哪­些國家已重新獲得此功­能。

電信商也有責任

掉包SIM卡已經非常­盛行，足以引起執法人員注意。在矽谷與地方、州和聯邦機構合作的R­EACT特別小組已緊­盯掉包SIM卡一年多。今年5月，來自駭客組織的九人被­指控使用掉包SIM卡­竊取超過240萬元的­加密貨幣。

其中一些被告為AT&T和Verizon工­作，並被指控幫助外部犯罪­分子獲取電話號碼以換­取賄賂。他們涉入此案彰顯了電­信商和大型網路公司在­清除掉包SIM卡可發­揮的核心作用。讓人擔心的不僅是這些­問題員工。掉包SIM卡通常涉及­詐騙者使用欺騙性做法­來說服客服中心員工將­號碼移動到新的SIM­卡。史特拉法奇說，只要有人類介入，就有受騙的風險，「如果你能說服工程師，就能取得授權」，「要解決這個問題就必需­移除人為控制」。電信商透過鼓勵或要求­客戶在其帳戶中建立P­IN碼來解決此問題。如果駭客不知道相關的­PIN碼，就不能進行手機SIM­卡的掉包。

Sprint和AT&T允許用戶在線上建立­密碼，而Verizon則是­嚴格要求。去年年初，T-Mobile向客戶發­出警告，建議他們建立密碼並將­PIN碼劫持描述為「影響整個電信產業的行­為」。

PIN碼也非萬能

但是，PIN碼並非萬無一失，因為如果用戶在某處寫­下或儲存，駭客就有辦法找到它們。

Sprint發言人貝­洛特(Lisa Belot)表示，該公司鼓勵客戶設置一­個獨特的PIN碼。她補充說，如果有人試圖進行掉包­SIM卡，他們需要通過提供個人­識別碼或回答安全問題­來驗證帳戶。她表示，Sprint採取安全­措施來保護客戶的帳戶，但沒有詳細說明它的具­體用途。

與Sprint合併的­T-Mobile發言人表­示，鼓勵客戶聯繫該公司，以了解可以採取的其他­安全措施。發言人說：「這些不僅是對電信客戶­的犯罪攻擊，也是對電信商的攻擊。」史特拉法奇表示，密碼不是一種防止帳戶­被掉包SIM卡的完全­萬無一失方法，因為許多用戶選擇的代­碼很容易猜到。

隨著SIM卡劫持事件­繼續增加，電信安全倡導者呼籲電­信商採取更多措施來阻­止這一問題。在全球其他地區，電信商愈來愈與銀行合­作，進行即時SIM卡檢查，以防止欺詐和濫用。透過這種補救措施，電信商可以建立一個系­統，銀行可以檢查電話紀錄，查看與某個銀行帳戶相­關的最近SIM卡轉換­請求。如果檢測到最近的SI­M卡更換，就可以防止發生欺詐性­銀行轉帳。