亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

本應(yīng)保護(hù)賬戶安全的一項(xiàng)功能——綁定手機(jī)號(hào)，已成 SIM 交換事件中的攻擊方法。且看其運(yùn)行機(jī)制并了解該如何防護(hù)。

作者簡(jiǎn)介：Nicole Sette，著名估值及咨詢服務(wù)公司 Duff & Phelps 旗下 Kroll 部門網(wǎng)絡(luò)風(fēng)險(xiǎn)實(shí)踐主管，注冊(cè)信息系統(tǒng)安全師 (CISSP)，15 年網(wǎng)絡(luò)情報(bào)調(diào)查與技術(shù)分析經(jīng)驗(yàn)。Nicole 作為網(wǎng)絡(luò)情報(bào)分析師為 FBI 工作近 10 年時(shí)間，并在美國(guó)陸軍通信-電子司令部任了四年情報(bào)專家。她畢業(yè)于斯坦福大學(xué)，并在美國(guó)國(guó)家情報(bào)大學(xué)獲得戰(zhàn)略情報(bào)碩士學(xué)位。

在 Kroll，Nicole 創(chuàng)建戰(zhàn)略網(wǎng)絡(luò)情報(bào)產(chǎn)品，并執(zhí)行各類網(wǎng)絡(luò)安全調(diào)查，包括涉及電子郵件入侵的事件響應(yīng)、SIM 交換、賬戶接管、勒索軟件和惡意軟件計(jì)算機(jī)入侵。除了了解網(wǎng)絡(luò)相關(guān)事件中人的因素，Nicole 還具備很強(qiáng)的技術(shù)專業(yè)技能，包括網(wǎng)絡(luò)分析、工業(yè)網(wǎng)絡(luò)安全、取證和事件處理，以及暗網(wǎng)調(diào)查。

作為網(wǎng)絡(luò)風(fēng)險(xiǎn)調(diào)查公司董事和前 FBI 網(wǎng)絡(luò)分析師，我非常熟悉 SIM 交換威脅。對(duì)很多人而言，說(shuō)到 SIM 交換就會(huì)聯(lián)想起黑客接入一家電話公司，或者外國(guó)間諜置換 SIM 卡以避免政府監(jiān)視的場(chǎng)景。事實(shí)上，SIM 交換是全球電話公司日常進(jìn)行的一項(xiàng)合法功能。最基本的層面上，電話服務(wù)提供商使用 SIM 交換將用戶現(xiàn)有手機(jī)號(hào)轉(zhuǎn)至新手機(jī)和 SIM 卡上。

不幸的是，罪犯也知道怎么使用 SIM 交換來(lái)攫取利益。罪犯誘騙或賄賂電話公司雇員將受害者手機(jī)號(hào)遷至其控制下的新手機(jī)和 SIM 卡。但為什么罪犯想要控制他人的手機(jī)號(hào)呢？

這就涉及到現(xiàn)代手機(jī)身份驗(yàn)證的概念了。在線服務(wù)提供商使用雙因子身份驗(yàn)證 (2FA) 方法，通過(guò)向賬戶之前綁定的手機(jī)號(hào)發(fā)送一次性密碼來(lái)驗(yàn)證用戶身份。雖然這是重置遺忘密碼的簡(jiǎn)便方式，卻也讓控制該手機(jī)號(hào)的任何人都可以訪問(wèn)關(guān)聯(lián)此號(hào)碼的電子郵件、社交媒體及金融賬戶。如果希臘戰(zhàn)士阿基里斯代表 2FA 所有榮光，那基于短信的手機(jī)身份驗(yàn)證就是阿基里斯之踵。

一個(gè)手機(jī)號(hào)連黑三個(gè)賬戶

靠手機(jī)號(hào)黑掉某人的想法太過(guò)迷人，我決定模擬僅用自己的手機(jī)號(hào)黑掉自身賬戶。先從推特賬戶開(kāi)始。我選擇了 “忘記密碼？”，然后看到了 “輸入手機(jī)號(hào)” 的選項(xiàng)。此時(shí)我根本不記得曾經(jīng)給我的推特賬戶關(guān)聯(lián)過(guò)手機(jī)號(hào)，但我決定嘗試一下。

我的手機(jī)很快就收到了推特發(fā)出的一次性密碼。而且鎖屏通知上就能看到。將此密碼輸入推特網(wǎng)站，彈出新密碼設(shè)置窗口，賬戶完全控制權(quán)就此入手。由于短信通知出現(xiàn)在手機(jī)鎖屏上，只要拿到我的手機(jī)且知道我手機(jī)號(hào)，任何人都可以接管我的推特賬戶。

最為困擾的是，知道我手機(jī)號(hào)的任一家庭成員、朋友或同事都能把號(hào)碼填進(jìn)推特的“忘記密碼？”字段，隨手拿過(guò)我已鎖屏的手機(jī)就能看到該一次性密碼，然后登錄我推特賬戶一覽無(wú)余。甚至都不需要 SIM 交換。

這一場(chǎng)景的隱私問(wèn)題令人坐立難安，且還凸顯出用戶賬戶控制權(quán)失竊的潛在嚴(yán)重影響——獲得賬戶控制權(quán)的人有可能從其社交媒體賬戶發(fā)布攻擊性內(nèi)容，甚至將賬戶用于犯罪。入侵者（比如同床異夢(mèng)的配偶或懷恨在心的同事）僅需知道受害者手機(jī)號(hào)和能看到手機(jī)，即使手機(jī)鎖屏。我確實(shí)收到了推特發(fā)送的一封密碼已重置通知郵件，但攻擊者可以同樣的技術(shù)獲取我電子郵件賬戶權(quán)限，然后刪除這些通知。

乘著推特賬戶入侵成功的東風(fēng)，我用同樣的技術(shù)搞定了我過(guò)時(shí)的 Hotmail 賬戶。步驟包括點(diǎn)擊 “忘記密碼”，輸入我（很好猜）的電子郵件地址，在彈框里輸入我的手機(jī)號(hào)。然后，一次性密碼就發(fā)到了我手機(jī)上，讓我得以重置密碼，查閱多年來(lái)的電子郵件通信，完全跳過(guò)了我之前為此賬戶設(shè)置的超復(fù)雜密碼。我都開(kāi)始看到 SIM 換客或者八卦人士有多容易從一個(gè)手機(jī)號(hào)窺探無(wú)數(shù)賬戶了。

此時(shí)我處于 “攻擊者思維” 模式，在我的 Hotmail 收件箱里搜索財(cái)務(wù)報(bào)表。我發(fā)現(xiàn)了一封來(lái)自金融機(jī)構(gòu)的郵件，點(diǎn)擊了 “查看報(bào)表”。黑掉該金融賬戶所需的工作不僅僅是輸入一個(gè)手機(jī)號(hào)那么簡(jiǎn)單，但也就多了一步輸入身份證號(hào)——這東西通常可從暗網(wǎng)市場(chǎng)上買到。實(shí)驗(yàn)進(jìn)行到這里，我已經(jīng)入手了一個(gè)社交媒體賬戶、一個(gè)存了財(cái)務(wù)報(bào)表的電子郵件賬戶，還有一個(gè)可以轉(zhuǎn)出資金的金融賬戶。

經(jīng)驗(yàn)教訓(xùn)

我從用自己的手機(jī)黑掉自身賬戶的實(shí)驗(yàn)中學(xué)到了什么呢？最主要的是，如果我的賬戶沒(méi)跟我手機(jī)綁定，僅僅由我設(shè)置的復(fù)雜密碼保護(hù)，或許還更安全些。

很多在線提供商建議綁定手機(jī)作為實(shí)現(xiàn) 2FA 的一種方式。2FA 的兩個(gè)驗(yàn)證因素：一個(gè)是你知道的東西，另一個(gè)是你擁有的東西。實(shí)際上，2FA 用于在一開(kāi)始將用戶手機(jī)號(hào)綁定在線賬戶；但手機(jī)號(hào)確認(rèn)之后，賬戶身份驗(yàn)證過(guò)程通常就倒退到單因子驗(yàn)證（就一個(gè)手機(jī)號(hào)）了。

由基于短信的身份驗(yàn)證場(chǎng)景激發(fā)出來(lái)的虛假安全感，令用戶面對(duì) SIM 交換攻擊和隱私漏洞毫無(wú)防備。除非你禁用了手機(jī)的某些通知功能，否則能看到你鎖屏手機(jī)的人就可能訪問(wèn)你的社交媒體、電子郵件甚至金融賬戶，所需僅為公開(kāi)可知的手機(jī)號(hào)和電子郵件地址。

結(jié)語(yǔ)

本次實(shí)驗(yàn)促使我立即做出一些改變，建議各位讀者參考照做：

1. 我將刪除我在線賬戶中的手機(jī)號(hào)，以復(fù)雜密碼和更健壯的 2FA 選項(xiàng)來(lái)驗(yàn)證在線賬戶，比如 Google Authenticator、Microsoft Authenticator、Duo 或 YubiKey 之類 USB 硬件驗(yàn)證設(shè)備。（我顯然不會(huì)把自己的手機(jī)號(hào)關(guān)聯(lián)上這些 2FA 應(yīng)用。）

2. 我將通過(guò)存檔和備份電子郵件來(lái)保護(hù)敏感郵件內(nèi)容，以防被黑時(shí)遭入侵者讀取。

3. 為抵御 SIM 交換攻擊，我將給我的移動(dòng)賬戶添加 PIN 碼，并計(jì)劃要求 SIM 交換僅能本人親自做出。

4. 為防來(lái)自機(jī)會(huì)主義偷窺者的手機(jī)身份驗(yàn)證攻擊，我已經(jīng)禁用了手機(jī)的鎖屏通知功能。

最重要的是：宣傳為使賬戶更安全的一項(xiàng)關(guān)鍵功能——綁定手機(jī)號(hào)，已在越來(lái)越多的 SIM 交換事件中被實(shí)際證明是種攻擊途徑。這種攻擊的安全和隱私影響很嚴(yán)重，業(yè)界需以更安全的身份驗(yàn)證機(jī)制代替基于短信的手機(jī)身份驗(yàn)證。