World Journal (New York) - World Journal (New York) - Weekly Supplement
駭客可劫持SIM卡
用戶與電信商間漏洞
當推特CEO多爾西(Jack Dorsey )的推特帳戶開始發出一連串奇怪的推文時,很明顯他的推特帳號已被盜用。但他400多萬粉絲不太明白的是,攻擊者如何能控制這位推特CEO的帳戶將近20分鐘。
推特CEO也被盜
推特表示,駭客透過成功竊取手機號碼獲得多爾西的個資,該手機號碼由於電信商的「安全監督」而遭竊取。雖然推特在聲明中未使用「掉包SIM卡」(SIM swapping)這種說法,但安全專家將攻擊歸因於這種日益流行的策略。幾天之後,同樣的事情發生在擁有300多萬粉絲的女星克蘿伊莫瑞茲(Chloe Moretz)身上。
為了進行掉包SIM卡,取得他人電話號碼和其他個資的詐騙者會通知電信商,假裝成受害者並要求將該號碼轉移到新的SIM卡。如果假冒成功,就可以開始登錄各種服務,以及更改其密碼。在控制電話號碼後,攻擊者將收到一次性密碼簡訊,避開雙重身分認證的要求。一個自稱為Chuckling Squad的實體,聲稱對多爾西和莫瑞茲的兩次攻擊,以及對查爾斯(James Charles)和道森(Shane Dawson)等網紅的攻擊負責。雖然推特遭受攻擊引人注目,但臉書、Snap、微軟的LinkedIn和Pinterest都依賴類似的安全措施,讓它們的網站向SIM駭客開放,而駭客有時只是想要造成嚴重破壞,但其他時候卻有更多邪惡的意圖,比如訪問受害者的銀行憑證。對於推特來說,劫持簡訊具有獨特的問題,因為它具有允許用戶透過發送簡訊就能發送推文的功能。
行動安全公司Guardian Firewall CEO史特拉法奇(Will Strafach)說:「任何真的事物都比簡訊來得好。」「這些公司想要使用度,想要用戶積極參與,初始動機並未著重在安全性上。」用戶也要負一些責任,他們通常擁有簡訊以外的多重身分認證選項。例如推特用戶可透過須密碼驗證的App建立帳戶,如Google Authenticator、Duo或Microsoft Authenticator;還可購買生物安全密鑰,如YubiKey,它可以插入電腦的USB接口並驗證用戶身分。
YouTube產品經理雪曼(Todd Sherman)建議用戶設置VoIP號碼,該號碼與Google Voice等雲端服務聯繫,而非與特定手機聯繫。在多爾西的帳號遭到駭客攻擊後,推特暫時關閉了簡訊功能,但隨後在某些「依賴簡訊推文的地方」重新啟用。推特發言人拒絕透露哪些國家已重新獲得此功能。
電信商也有責任
掉包SIM卡已經非常盛行,足以引起執法人員注意。在矽谷與地方、州和聯邦機構合作的REACT特別小組已緊盯掉包SIM卡一年多。今年5月,來自駭客組織的九人被指控使用掉包SIM卡竊取超過240萬元的加密貨幣。
其中一些被告為AT&T和Verizon工作,並被指控幫助外部犯罪分子獲取電話號碼以換取賄賂。他們涉入此案彰顯了電信商和大型網路公司在清除掉包SIM卡可發揮的核心作用。讓人擔心的不僅是這些問題員工。掉包SIM卡通常涉及詐騙者使用欺騙性做法來說服客服中心員工將號碼移動到新的SIM卡。史特拉法奇說,只要有人類介入,就有受騙的風險,「如果你能說服工程師,就能取得授權」,「要解決這個問題就必需移除人為控制」。電信商透過鼓勵或要求客戶在其帳戶中建立PIN碼來解決此問題。如果駭客不知道相關的PIN碼,就不能進行手機SIM卡的掉包。
Sprint和AT&T允許用戶在線上建立密碼,而Verizon則是嚴格要求。去年年初,T-Mobile向客戶發出警告,建議他們建立密碼並將PIN碼劫持描述為「影響整個電信產業的行為」。
PIN碼也非萬能
但是,PIN碼並非萬無一失,因為如果用戶在某處寫下或儲存,駭客就有辦法找到它們。
Sprint發言人貝洛特(Lisa Belot)表示,該公司鼓勵客戶設置一個獨特的PIN碼。她補充說,如果有人試圖進行掉包SIM卡,他們需要通過提供個人識別碼或回答安全問題來驗證帳戶。她表示,Sprint採取安全措施來保護客戶的帳戶,但沒有詳細說明它的具體用途。
與Sprint合併的T-Mobile發言人表示,鼓勵客戶聯繫該公司,以了解可以採取的其他安全措施。發言人說:「這些不僅是對電信客戶的犯罪攻擊,也是對電信商的攻擊。」史特拉法奇表示,密碼不是一種防止帳戶被掉包SIM卡的完全萬無一失方法,因為許多用戶選擇的代碼很容易猜到。
隨著SIM卡劫持事件繼續增加,電信安全倡導者呼籲電信商採取更多措施來阻止這一問題。在全球其他地區,電信商愈來愈與銀行合作,進行即時SIM卡檢查,以防止欺詐和濫用。透過這種補救措施,電信商可以建立一個系統,銀行可以檢查電話紀錄,查看與某個銀行帳戶相關的最近SIM卡轉換請求。如果檢測到最近的SIM卡更換,就可以防止發生欺詐性銀行轉帳。