来自 安全 2022-05-21 22:10 的文章

网站防御_云盾证书服务_快速接入

网站防御_云盾证书服务_快速接入

无论形状或大小,泄露SIM卡都是一项相对简单的任务

在我们本月早些时候关于Facebook大规模数据泄露的文章中,我们提到了SIM卡交换的概念。由于电子邮件地址和手机号码相关的泄密,这种类型的攻击变得越来越容易。让我们更深入地了解这类攻击是如何实施的,它为什么如此流行,以及您将来可以采取哪些措施来防止它。

每部手机都有一种称为用户身份模块(SIM)的特殊卡。这些卡片有三种不同的尺寸:大的、中的和小的(它们有其他的名字,但为了简单起见,网站如何防御cc,请和我在一起)。最新的手机有最小的卡片,如果你的手指很小的话,卡片的大小和你小指的指甲表面差不多。如果你有这张最小的SIM卡,你仍然可以放在旧手机的托盘中,这要感谢你在购买新卡时附带的纸板适配器。

事实上,最新的智能手机型号上有第四个版本的SIM卡——虚拟SIM卡或eSIM。这允许您在手机上使用两个SIM卡,例如当您在国际旅行时(还记得那些日子吗?),您希望在另一个国家拥有一个本地号码和第二个移动运营商。

无论SIM卡的大小或形状如何,破坏它都是一项相对简单的任务-这就是攻击如此流行的原因。骗子打电话给你的手机运营商,说你的手机丢了,或者你掉了,手机坏了。他们要求运营商在手机上使用您的电话号码激活新的SIM卡。如果他们听起来足够有说服力(或者如果他们在航空公司找到了可以贿赂的人来执行他们的命令),你就完蛋了。因为一旦交换,你就不会收到任何短信、电话或其他数据。任何与你的手机号码相关的东西——对我们许多人来说,手机号码是我们唯一的电话号码——都是攻击者可以妥协的公平游戏。在这一点上,骗子可以改变你的电子邮件地址,改变你的银行和信用信息,假扮成你。

如果你认为这个策略听起来太不可思议,请三思。普林斯顿大学的一组研究人员考察了美国主要的手机运营商,以及140个不同的网站。所有运营商和其中17个网站都被发现存在漏洞。诚然,这项工作是在2019年完成的,但是,审查最终的文件仍然是一个令人心寒和沮丧的分析,即运营商声称的保护措施在一个有好故事的狡猾黑客手中是多么无效。

例如,一些运营商要求提供个人信息(如您帐户上的付款详细信息),但如果黑客的第一个答案猜错了,他们会提供指导。研究人员还整理了一张表格,记录了各种网站以及它们的实现是否得到了适当的保护。遗憾的是,这张桌子并不像你想象的那样过时。虽然科技领域的创新很快,但这并不是其中之一。

多年来,SIM卡交换已经发生在一些知名人士身上。ZDNet自由撰稿人马修·米勒(Matthew Miller)的手机在2019年遭到攻击。他失去了推特粉丝,从他的银行账户中偷走(最终归还)价值25000美元的比特币,ip防御ddos,比特币企业家Joby Weeks在2017年发布的关于SIM卡交换的报道中说,他不得不更改几十个与他被泄露账户相关的密码。

"我认识的加密货币领域的每个人的电话号码都被偷了。"该报道中还引用了Adam Pokornicky的遭遇,Cryptochain Capital的管理合伙人。他的手机在他上网时遭到黑客攻击,他看到一名攻击者在几分钟内抢走了他的所有账户。他的账户在相当一段时间内一直是窃贼的目标,因为他有一个诱人的推特手柄。

可能是最早、最臭名昭著的SIM卡交换之一,发生在2016年的DeRay Mckesson的推特账户上。说到推特,该公司首席执行官杰克·多尔西(Jack Dorsey)自己的账户在2019年被劫持。其他成为受害者的名人包括女演员杰西卡·阿尔巴(Jessica Alba)、唱片艺术家金·巴赫(King Bach)以及肖恩·道森(Shane Dawson)和阿曼达·塞尔尼(Amanda Cerny)等网络名人。安全作家Brian Krebs也报道了其他一些恐怖故事。

运营商在SIM卡交换方面取得了一些进展。美国各大运营商宣布努力开发自己的智能手机认证应用程序,该应用程序现在以Zenkey的形式提供。

正如FTC所建议的,第一道防线之一是更加清楚可能出现的问题。他们正确地建议你不要回复任何要求你提供个人信息的电话或短信。曾经如果你点击嵌入的链接,即使是像包裹通知文本这样无害的东西也可能有害。

其次,正如我们的Facebook泄密文章所建议的,ddos防御程序,你应该尝试将你的第二个身份验证因素从短信切换到身份验证应用程序,如Google authenticator和Authy。虽然这可能是一个令人沮丧的练习(正如我们在这篇文章中所记录的),搭建高防cdn销售系统,但它在阻止掉期交易方面还有很长的路要走。另外,不要依赖Facebook、Google或Twitter对您登录其他服务进行身份验证——您应该使用唯一的密码设置单独的身份验证过程。为了跟踪您的密码收集情况,请使用密码管理器创建复杂的密码,您无需记住并重新键入。