SIM交換攻擊是一種復(fù)雜的、多階段的犯罪行為，具有很大的潛在的破壞性。

今年一月普林斯頓大學(xué)昨日發(fā)表的一項學(xué)術(shù)研究指出，美國五家主要的預(yù)付費(fèi)無線運(yùn)營商，極易受到SIM卡劫持攻擊。其特指攻擊者致電移動服務(wù)提供商，誘使電信企業(yè)員工將電話號碼更改為攻擊者控制的SIM卡，使之能夠重置密碼并訪問敏感的在線賬戶，比如電子郵件收件箱、網(wǎng)銀門戶、甚至加密貨幣交易系統(tǒng)。

目前，T-Mobile在審查了研究結(jié)果之后，決定不再使用呼叫記錄進(jìn)行客戶身份驗證。

執(zhí)法機(jī)構(gòu)目前已經(jīng)對SIM交換詐騙的興起發(fā)出了警告，這是一種復(fù)雜但利潤豐厚的賬戶接收詐騙形式。

FBI在其2019年互聯(lián)網(wǎng)犯罪報告(PDF)中概述了從一名罪犯處查獲的價值1800萬美元、5輛汽車和價值90萬美元的房屋，這生動地說明了實施SIM swap攻擊的經(jīng)濟(jì)動機(jī)。對于通常很富有的目標(biāo)人群來說，損失可能高達(dá)數(shù)十萬甚至數(shù)百萬美元。

SIM卡交換攻擊，簡而言之，就是網(wǎng)絡(luò)罪犯竊取了你的一定數(shù)量的個人數(shù)據(jù)，包括你的電話號碼。他假裝是你聯(lián)系了另一家運(yùn)營商，聲稱丟失了“他的”手機(jī)。他說服運(yùn)營商提供新手機(jī)和SIM卡，斷開“舊”線路，然后從云端傳輸“他的”應(yīng)用程序和信息。通過SIM卡交換攻擊，罪犯可以用不同的設(shè)備控制你的手機(jī)。發(fā)生SIM卡交換攻擊時，你會誤以為手機(jī)壞了。當(dāng)你試著修理電話時，黑客就會迅速地在你的應(yīng)用程序和文件中搜尋，盜竊私人數(shù)據(jù)，甚至可能是你的銀行賬戶信息。去年，全世界有超過3000萬人遭受過SIM卡交換攻擊。

整個詐騙計劃一般分為二個階段，第一階段是指攻擊者透過不同途徑，如網(wǎng)絡(luò)釣魚攻擊、地下市場或資料外泄事件等，收集受害者的個人敏感資料(例如姓名、地址、出生日期、電話號碼、帳號登入憑證等資訊)。當(dāng)所需資料齊集后，第二階段的攻擊便展開，攻擊者以受害者的電話號碼連同虛假身份證明文件，假冒受害者本人，向電訊商報稱遺失了手機(jī)，申辦將其電話號碼轉(zhuǎn)移至攻擊者的 SIM 卡上。受到SIM交換攻擊的受害者，最明顯的情況是他們的手機(jī)突然失去電訊網(wǎng)絡(luò)訊號，以致無法撥打電話、無法使用行動網(wǎng)絡(luò)和無法接收短訊。其后，他們的社交網(wǎng)絡(luò)帳戶的登入密碼都被改了，再也無法登入，如Google，WhatsApp，F(xiàn)acebook。

[[329343]]

SIM交換攻擊者會偽裝成受害者，以控制他們的手機(jī)號碼

SIM卡交換詐騙有多普遍?

倫敦市金融欺詐部門獲得的數(shù)據(jù)顯示，2019年，英國受害者遭受的損失總計近920萬英鎊(合1120萬美元)，高于2015年的約43.6萬英鎊(合53萬美元)。

在這段時間內(nèi)，被報道的事件數(shù)量從144起躍升至720起，受害者每更換一次SIM卡，平均損失約3000英鎊。

2020年3月，歐洲刑警組織發(fā)布警告，稱整個歐洲的SIM卡劫持威脅正在日益增加，并透露一項調(diào)查已導(dǎo)致12名涉嫌與盜竊有關(guān)的犯罪嫌疑人被捕，涉案金額超過300萬歐元(330萬美元)。

加密貨幣投資者是SIM卡劫機(jī)者青睞的目標(biāo)，一名投資者目前正在起訴一名紐約少年，指控他盜竊了價值2380萬美元的數(shù)字貨幣。

然而，與更自動化的賬戶接收欺詐形式(如憑證填充攻擊)相比，交換SIM卡仍然是少數(shù)行為。

加拿大魁北克麥吉爾大學(xué)信息研究學(xué)院的副教授不認(rèn)為這是一種很常見的攻擊，因為攻擊者需要付出“巨大的努力”。他解釋道:“市場上還有許多其他更容易實現(xiàn)的目標(biāo)。”

盡管這是一條很耗時的攻擊之路，當(dāng)針對“特定的高價值受害者”時，這種技術(shù)是值得的。

正如Twitter首席執(zhí)行官杰克•多爾西(Jack Dorsey)在他的個人Twitter賬戶被黑客攻擊后于2019年發(fā)現(xiàn)的那樣，這種“價值”可能存在于受害者的公開資料中，而不僅僅是他們的銀行賬戶。

但你不必成為超級富豪或超級名人來成為目標(biāo)，有一個可觀的信用卡限額就足夠了。

英國報道了一個案例，罪犯在48小時內(nèi)花了1.3萬英鎊(1.4萬美元)在受害者的信用卡上。

[[329344]]

即使你不是超級富豪，你也會成為被攻擊的目標(biāo)。這個復(fù)雜的、多階段的策略首先要確定一個適當(dāng)?shù)默F(xiàn)金或信貸充足的受害者和他們的手機(jī)號碼。

然后，犯罪分子通過暗網(wǎng)數(shù)據(jù)泄露銷售、受害者的社交媒體信息，或者通過網(wǎng)絡(luò)釣魚郵件、短信或電話等社會工程手段欺騙他們，來收集個人信息。

攻擊者試圖欺騙受害者的移動運(yùn)營商——通過電話，網(wǎng)絡(luò)聊天，甚至在商店里——把受害者的電話號碼轉(zhuǎn)移到他們自己的SIM卡上。

如果成功，他們可以使用受害者的手機(jī)號碼作為雙因素身份驗證(2FA)的形式來重置密碼和訪問他們的在線賬戶。

默認(rèn)情況下，移動和在線賬戶上的身份驗證設(shè)置很少是安全的。

因此，我們建議富豪們，將運(yùn)營商和敏感網(wǎng)絡(luò)賬戶提供的每一項額外安全措施都納入考慮范圍。

例如，一些運(yùn)營商”可以限制“客戶賬戶，以便只能使用政府發(fā)行的ID在店內(nèi)進(jìn)行更改。

如何保護(hù)自己免受SIM卡交換欺詐

• 保持設(shè)備軟件為最新;
• 不要點(diǎn)擊鏈接或下載來自未知發(fā)件人的電子郵件中的附件;
• 不要在社交媒體上分享敏感的個人信息;
• 盡可能將2FA與身份驗證應(yīng)用程序一起使用;
• 如果你成為SIM交換攻擊的受害者，提醒你的移動運(yùn)營商任何可疑的連接丟失和修改密碼;

Web帳戶和基于電話的身份驗證

還記得上面提到普林斯頓大學(xué)的研究者嗎?他們于2020年4月發(fā)表的論文的更新版本(PDF)中，發(fā)現(xiàn)17個網(wǎng)站披露了身份驗證漏洞，但在他們提醒后只有4個網(wǎng)站的安全性得到了提升。