为什么 “sim swapping” 是一场日益严重的安全噩梦

纳撒尼尔·波普尔写的

上周，当黑客接管Twitter首席执行官杰克·多尔西 (Jack Dorsey) 的Twitter帐户时，他们使用了一种越来越普遍且难以阻止的技术，该技术可以使他们完全访问他的数字活动，包括社交媒体，电子邮件和财务帐户。

称为SIM交换，它允许黑客控制受害者的电话号码。近几个月来，SIM swaping被用来劫持政客，名人和多尔西 (Dorsey) 等知名人士的在线角色，在世界各地偷钱，并简单地骚扰普通人。

受害者，无论多么突出或技术复杂，都无法保护自己，即使他们一次又一次地被击中。

安全公司闪点 (Flashpoint) 的研究主管艾莉森·尼克松 (Allison Nixon) 说: “我一直在关注地下罪犯，而SIM交换比我见过的任何事情都困扰我。”“这不需要技巧，普通人也无能为力。”

Sim交换是如何工作的

犯罪分子已经学会了如何说服T-mobile和AT&T等移动电话提供商将电话号码切换到他们控制的新设备。

该号码从目标手机中的微型塑料sim卡或订户身份模块切换到另一台设备中的sim卡。

有时，黑客通过拨打电话运营商的客户帮助热线并假装成为目标受害者来获得电话号码。在最近发生的其他事件中，黑客工作人员已经还清了电话公司的员工为他们做开关的费用，通常每个电话号码的费用仅为100美元。

一旦黑客控制了电话号码，他们就会要求Twitter和Google等公司通过短信向受害者的电话发送临时登录代码。大多数主要的在线服务都愿意发送这些消息，以帮助丢失密码的用户。

但是临时代码会发送给黑客。

电话公司多年来一直意识到这个问题，但他们想出的唯一常规解决方案是提供电话所有者必须提供的pin码才能切换设备。即使这项措施也被证明是无效的。黑客可以通过贿赂电话公司员工来获得pin码。

还请阅读苹果如何用自己的产品堆叠App Store

加州圣克拉拉县副地区检察官艾琳·韦斯特 (Erin West) 说: “世界上的AT & Ts似乎并没有真的在做任何事情来让事情变得更加困难。” 她是专注于这个问题的执法工作队的成员。“我生活在恐惧之中，担心我会被交换，因为这并不难。”

没有美国当局保留有关袭击频率的统计数据。但是韦斯特和其他追踪案件的人说，在过去的一年中，案件变得越来越频繁。

“账户收购欺诈是一个全行业的问题，” T-Mobile的发言人paula Jacinto说。“我们使用了一些保障措施来帮助防止这种犯罪，并为客户提供各种选择来帮助他们保护自己的信息。”

谁被击中了？

很难确定有多少手机用户受到sim卡交换的打击。但是，从肯尼亚到好莱坞，世界各地的人们都对此表示抱怨。

最近几周，最突出的目标是像多尔西这样的名人，女演员杰西卡·阿尔芭，以及像肖恩·道森和阿曼达·塞尔尼这样的在线名人 (她的第二次)。黑客使用这些帐户向数百万关注者发布了令人反感的消息。他们还获得了私人通信的权限。

马修·史密斯 (Matthew Smith) 在南卡罗来纳州拥有一家专注于互联网的设计工作室，他已经被SIM swappers击中四次-仅今年一年就击中了三次。黑客长期以来一直想要他的Instagram手柄 @ whale。这使他成为目标。

每次攻击者访问他的社交媒体和电子邮件帐户时，史密斯的电话提供商T-Mobile都会向他保证，它已经采取了其他措施来保护他的帐户。虽然他设法找回了他的社交媒体账户，但他还没有重新获得两个拥有多年通信经验的谷歌电子邮件账户的访问权。

在今年夏天的最新事件中，攻击者进入新的电子邮件地址后，他们联系了史密斯，他的家人和他的朋友，以威胁他和他的孩子的帐户信息。

“感觉很恶心，” 史密斯说。“感觉就像你拥有的一切，你认为是安全的，也是你的 -- 有人在玩那种玩具。”

T-Mobile表示不会对特定客户发表评论。

还请阅读监管机构如何将亚马逊，苹果，Facebook和Google作为目标

受害者抱怨说，袭击发生后，他们一直在努力从电话公司寻求帮助，甚至在电话公司找到了解问题的人。

当唱片艺术家国王巴赫 (King Bach) 在8月末失去并重新控制自己的电话号码时，他在Twitter上发布了一段愤怒的视频，其中他说他已经与AT&T通话了数小时。

“客户服务是垃圾，” 他说。“我得不到帮助。”

AT&T没有回应众多置评请求。

从恶作剧到盗窃

SIM交换几年前在黑客社区中变得很流行。攻击者最感兴趣的是控制稀有或标志性的社交媒体帐户名称，例如只有一个名称的Twitter或Instagram帐户。

但是黑客很快意识到，他们可以获得比社交媒体帐户更多的访问权限。

2016年，SIM交换团伙开始瞄准加密货币持有者。与传统的银行交易不同，一旦虚拟货币被移动到新的地址，交易就不能逆转。美国银行帐户不太容易受到SIM交换的影响，因为银行通常会撤销任何犯罪交易。

在过去的一年中，执法人员逮捕了一些窃取加密货币的团伙。黑客第一次被送进监狱，正在服刑10年。

研究人员说，专注于sim卡交换的在线人员数量一直在增长，受害者的范围和帐户类型也在增长。

在非洲，帮派使用SIM交换来瞄准与手机提供商相关的金融账户，例如肯尼亚流行的Mpesa服务。南非官员说，去年那里发生了11,000多起事件，是前一年的三倍。

另请阅读欧盟的新数字沙皇: “行星上最强大的大型技术调节器”

安全专家建议公司停止使用电话号码来帮助客户恢复帐户。

卡巴斯基实验室 (Kaspersky Lab) 的安全研究人员法比奥·阿索里尼 (Fabio Assolini) 说: “这是一个技术问题，因为我们正在使用一种非常古老的技术，该技术并非旨在安全地发送安全代码。” 去年，他在一次sim卡交换攻击中丢失了自己的电话号码。

Twitter周三表示，它将停止允许某些用户通过短信发布更新，这使得SIM swapers访问Twitter特别容易。但这并不能阻止使用SIM交换登录受害者Twitter帐户的黑客。(Twitter表示正在努力改善这一点。)

安全专家担心，黑客可能会加强攻击，并使用这种方法来追求更高价值的目标。几位巴西政客最近的手机和社交媒体应用程序遭到破坏。

尼克松说: “SIM交换正在激增，在公司处理这一问题之前，它将继续激增。”“这是目前已知的问题。真的没有任何借口。”