如何抵制SIM卡交换攻击

  • 最容易遭受的威胁

SIM卡交换攻击是一种常用的攻击形式,攻击者会控制您的电话号码,然后在您的电话号码作为2FA时,控制您的数字生活。

本文尝试确切解释什么是SIM交换攻击,以及缓解这些攻击的最有效方法。

本文将假设您的移动设备已建立基本安全级别,即 没有Root/越狱,并且您近期尚未成为网络钓鱼攻击的受害者。

https://www.techdirt.com/articles/20200114/06480143727/study-shows-internet-is-hugely-vulnerable-to-sim-hijacking-attacks.shtml

什么是SIM卡交换攻击?

这是一种越来越流行的攻击形式,涉及欺诈,在许多情况下还涉及社交工程。

通常情况是这样的:犯罪分子会提前检查您的电话号码,然后通过电话与您的移动运营商联系,选择那种看似容易被操纵的新人、思维简单的或超级友善的客户代表。

⚠️攻击者在此前已经收集了足够的有关你的个人信息(物理地址、SSN、电话号码、出生日期 ……所有这些都可以轻松获得,因为人们太喜欢晒了)以此来冒充您,然后 —— 他们会编造一些引人入胜的故事,例如 “我需要在几个小时内上飞机,更糟糕的是,我刚丢了手机!您能帮忙吗?”

一般而言,我们都是好人,并希望在任何可能的时候提供帮助。攻击者知道这一点,并利用这种性质来控制帐户并最终控制SIM卡。请注意这比听起来容易得多。

一旦攻击者控制了您的SIM卡并进而控制了您的手机号码,就会迅速发生一系列古怪的事。这里是当您遭受SIM卡交换攻击时通常都会遇到的现象

1、您可能会注意到的第一件事是您的手机显示 “没有服务”。许多人没有立即注意到这一点,因为他们的手机还连接了WiFi,并且诸如电子邮件、社交媒体、音乐之类的东西一开始仍然可以正常工作。

2、直到发现自己没有接到电话或发不出短信,他们才开始怀疑某些事情不对。到那时就已经晚了。

3、然后更多奇怪的事发生。例如发送重置密码的请求、无法访问电子邮件、社交媒体等。这似乎是一次突然发生的噩梦。

攻击者对您的短信或电话的兴趣不大,他们会致力于控制有价值的帐户和您已采取额外措施保护的银行帐户 —— 使用您的手机号码接收这些2FA验证码。

攻击者可以在这些帐户中启动密码重置,然后在他们控制了您的手机号码后拦截这些一次性验证码。

他们会使用手动或自动工具在您的所有帐户中 —— 电子邮件和社交媒体帐户、银行、保险、贷款、零售等等 —— 快速启动密码重置。

4、您开始害怕了。但这仅仅是一个开始。

5、成功接管您的身份后,攻击者会将您的所有息转售给暗网。这会使缓解和遏制变得更加困难。

6、攻击者不会停下来,他们会将攻击提高到一个新的水平,这些活动包括以您的名义开立贷款和信用卡、新的电子邮件帐户、以及更全面地有效接管您的身份。

7、⚠️通常需要您花费数月甚至数年的时间来清理,时间长度取决于攻击者活动的速度和范围、控制的账户和资产的数量、以及攻击者有多聪明。

最小化被攻击的风险

这些提示可在最大程度地减少您遭受这种攻击的可能性:

1、不要使用短信和邮件验证,使用身份验证应用程序。

请改用身份验证APP,Authy、Google Authenticator 或 Duo 等应用。

这应该是个原则 —— 即 尽可能寻找那些可以不使用手机号码的方式。这样能帮您减少很多痛苦,提高保护能力。

2、在您的移动运营商帐户上设置PIN码

如果您最近没有与移动运营商联系,那么值得打个电话来办理一下手续,尤其是如果您怀疑自己已经受到损害时。

一些小的迹象,比如 一个莫名其妙的 Netflix 帐户、一个在线零售帐户、或者有钓鱼邮件要求您的电话号码、姓名、实际地址等,这些通常都是SIM攻击的先兆。

为避免这种情况,请致电您的移动运营商,并要求他们在帐户中设置PIN码。这样做至少能给攻击者带来一些挑战性。这个PIN码通常是4到8个字符的数字。

3、在物理设备上设置PIN

如果您经常丢失手机或随手乱放,则应考虑在手机的SIM卡上启用PIN码。这里指的不是您用来登录手机的 PIN 码。而是防止他人激活和使用您的SIM卡的密码。

想象一下有坏人偷了你的电话。即使他们不能破解密码进入您的手机,他们也可以简单地取出SIM卡并控制您的手机号码。但是如果您设置了PIN码,至少能给坏人制造点麻烦。

以下是在不同设备上执行此操作的一些步骤:

4、尽可能避免使用您的真实手机号码

尽可能不共享您的真实手机号码 —— 尽一切可能。例如,将其从社交媒体帐户中删除。

仔细想想,其实并非总是需要提供手机号码的,但人们只是出于习惯就顺手写下了真实的号码。要改掉这个毛病,因为它很危险。

当然,可以想像,对于做业务的人来说,这种方法也许会造成麻烦;但是,请尽可能考虑分身,把它当成原则,让安全进入您的习惯。

衡量自己的威胁模型,并从 *最有价值* 的在线帐户中删除您的真实手机号码,这样可以极大地降低遭遇SIM交换攻击的风险,尤其是在您必须将手机号码与帐户关联的情况下。

例如,登录到Google帐户页面,然后在 “个人信息” 部分中编辑您的手机号码。如果您在那看到的是自己的真实手机号码,请用虚拟号码代替它,或者将其全部删除(只要您可以选择先接收2FA)。

请注意,此屏幕截图中2FA已关闭。一旦设置了身份验证器或使用了一次性号码来接收那些2FA代码,请确保重新启用它,以免被锁定。

这是另一个使用 Amazon 的示例:在您的帐户中,选择 “登录和安全”。在此处删除您的手机和/或添加一次性号码。

PayPal 是攻击者的另一个常规目标。登录后,通过单击页面右上角的设置(齿轮图标)在此处执行相同的操作。

单击 “电话”,然后删除您的真实号码并添加一次性号码。请注意有些地区可能无法进行这个操作,因为它要求注册手机号和银行卡绑定的手机号一致。

同样,请考虑尽可能从所有社交媒体、零售、尤其是财务帐户中删除您的真实手机号码。

最后

我们应该保持友善和乐于助人的爱心,但是请准确判断,不要轻易被利用。见《礼貌的偏执》。

如果 **任何人** 通过电子邮件和/或短信询问您的个人信息,请保持友善的怀疑态度,不要害怕要求验证 —— 如果显示为您认识的人,请用其他安全的方式联系此人,以确认是否真的是你认识的那个人发送的消息。

还记得我们在 “变得难以被追踪” 系列中强调的原则吗:零信任,始终验证

如果您担心自己已​​成为SIM卡交换攻击的受害者,请寻求专业指导,以适当缓解和做出明智的选择以应对。

请与您的亲人和朋友分享这些技巧,以帮助确保他们的安全。⚪️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据