美国信息泄露严重：黑客补办SIM卡来偷你的账号

（原问题：The SIM Hijackers）

网易科技讯 7月25日动静，海外媒体Motherboard收集安详记者Lorenzo Franceschi-Bicchierai撰文揭秘从事SIM卡挟制的黑客。作者拜望了交易交际媒体和游戏账号的论坛OGUSERS，那些账号每每是通过“SIM卡挟制”偷取的。通过SIM卡挟制，黑客盗用方针工具的手机号码，然后举办暗码重置逐一经受受害者的各类账号。正如一名深受其害的受害者所感悟的，手机号码是我们的数字糊口中最单薄的一环。

以下是文章首要内容：

在盐湖城的郊区，这好像是又一个温顺的九月夜晚。瑞秋·奥斯特伦德(Rachel Ostlund)方才让她的孩子上床睡觉，本身也筹备去睡觉。她在和妹妹发短信时，手机溘然失去了处事。瑞秋收到的最后一条信息来自她的运营商T-Mobile。信息上说，她的手机号的SIM卡已经“更新”。

接着，瑞秋做了大大都人在这种环境下会做的事：她一次又一次地重启手机。但这毫无辅佐。

她走上楼，汇报丈夫亚当（Adam）她的手机用不了了。亚当试着用他的手机拨打瑞秋的手机号码。电话铃声响了，但瑞秋手里的手机并没有亮屏。没有人接听。与此同时，瑞秋登录她的电子邮箱，发明有人正在重置她很多账号的暗码。一个小时后，亚当接到了一个电话。

“让瑞秋接听，”电话那头传来声音，“就此刻。”

亚当予以了拒绝，问对方产生了什么事。

“你已经被我们完全掌控了，我们将摧毁你的糊口。”打电话的人说，“你见机的话，就让你的老婆接听。”

亚当拒绝了。

“我们会摧毁你的名誉记录。”那人接着说，并提到了瑞秋和亚当的一些亲戚以及他们的地点，“假如我们危险他们会奈何？假如我们毁了他们的名誉记录，然后给他们留言说都是你造成的，会奈何？”这对佳偶以为打电话的人是从瑞秋的亚马逊账号上得到那些亲戚的信息的。

这对佳偶还不清晰状况，但他们方才成为黑客的最新受害者。这些黑客挟制人们的手机号码，目标是偷取Instagram上有代价的用户名，然后把它们卖掉调换比特币。在2017年夏末的谁人晚上，奥斯特伦佳偶是在和两名黑客通电话，后者攻克了瑞秋的Instagram账号@Rainbow。他们此刻要求瑞秋和亚当放弃她的Twitter账号@Rainbow。

按照参加过买卖营业的人士的说法和一个热点市场上的行情表，在门庭若市的环绕被盗的交际媒体账号和游戏账号的地下市场，一个简短的、奇异的用户名可以卖到500美元到5000美元不等。几名参加过地下市场买卖营业的黑客声称，像@t这样的Instagram账号最近卖到了代价约4万美元的比特币。

通过挟制瑞秋的手机号码，黑客们不只能经受瑞秋的Instagram账号，还能经受她的亚马逊、Ebay、PayPal、Netflix和Hulu账号。一旦黑客节制了瑞秋的手机号码，她为掩护个中一些账号而采纳的安详法子(包罗双重认证)都无补于事。

“那是一个让人很是求助的夜晚，”亚当回想道，“真不敢信托他们竟胆敢给我们打电话。”

被忽视的威胁

本年2月，T-Mobile大范畴发出短信，提示用户鉴戒一个“全行业的”威胁。该公司暗示，犯法分子越来越多地操作“手机号码转移诈骗”伎俩来锁定和偷取人们的手机号码。这种圈套也被称为“SIM卡变更”或“SIM卡挟制”，伎俩简朴粗暴，但很是有用。

起首，非法分子假扮成他们的方针人物，拨打手机运营商的技能支持号码。他们向运营商的员工表明说他们“丢失”了SIM卡，要求将本身的手机号码转移或移植到黑客已经拥有的新SIM卡上。通过配置一点交际工程陷阱（凡是以攀谈、诱骗、假意或口语等方法，从正当用户中套取用户体系的奥秘）——或者通过提供受害者的社保号码或家庭住址(这些信息凡是是由于已往几年频仍产生的数据泄漏变乱而外泄的)——非法分子说服员工他们真的是手机号全部者，然后员工就会将手机号码移植到新的SIM卡上。

统统都完了。

“有了或人的手机号码，”一个做SIM卡挟制的黑客汇报我，“你可以在几分钟内进入他们全部的账号，而他们对此完全无能为力。”

瑞秋·奥斯特伦德在手机号码被黑客们经受后收到的短信截图

在那往后，受害者失去了手机处事，由于只有一张SIM卡可以毗连得手机收集上。黑客可以重置受害者的账号，凡是可以通过将手机号码用作账号规复方法来绕过诸如双重认证的安详法子。

某些处事，包罗Instagram，要求用户在举办双重认证配置时提供手机号码，这一划定反而造成的意想不到的影响：给了黑客另一种进入账号的要领。这是由于，假如黑客节制了一个方针工具的手机号码，他们就可以绕过双重认证，得到他们的Instagram账号，连账号暗码都不必要知道。

曾被称作CosmoTheGod的黑客埃里克·泰勒(Eric Taylor)将这种技能用于他最著名的一些进攻勾当，好比2012年他侵入了CloudFlare首席执行官的邮箱账号。泰勒此刻在安详公司Path Network事变，他汇报我，只要手机号码关联了你的任何一个收集账号，你“就很轻易受到进攻，他们会在你打电话给你活该的供给商的五分钟内经受你的各类账号。”

“这种事常常产生。”他增补说。

咨询公司Celsus Advisory Group的谍报与研究主管罗埃尔·舒温伯格(Roel Schouwenberg)研究过SIM卡变更、绕过双重认证和滥用账号规复机制等题目。在他看来，没有一个手机号码是百分百安详的，斲丧者必要意识到这一点。

“任何范例的号码都可以移植，”舒温伯格汇报我，“一个下定刻意且办法精良的犯法分子至少可以或许得到一个号码的暂且会见权，这凡是足以乐成完成一场掳掠。”

这令人异常不安。正如他客岁在一篇博客文中所说的，手机号码已经成为我们整个收集身份的“全能钥匙”。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!