美国信息泄露严重：黑客补办SIM卡来偷你的账号

（原标题：The SIM Hijackers）

网易科技讯 7月25日消息，国外媒体Motherboard网络安全记者Lorenzo Franceschi-Bicchierai撰文揭秘从事SIM卡劫持的黑客。作者探访了买卖社交媒体和游戏账号的论坛OGUSERS，那些账号往往是通过“SIM卡劫持”盗取的。通过SIM卡劫持，黑客盗用目标对象的手机号码，然后进行密码重置一一接管受害者的各种账号。正如一名深受其害的受害者所感悟的，手机号码是我们的数字生活中最薄弱的一环。

以下是文章主要内容：

在盐湖城的郊区，这似乎是又一个温暖的九月夜晚。瑞秋·奥斯特伦德(Rachel Ostlund)刚刚让她的孩子上床睡觉，自己也准备去睡觉。她在和妹妹发短信时，手机突然失去了服务。瑞秋收到的最后一条信息来自她的运营商T-Mobile。信息上说，她的手机号的SIM卡已经“更新”。

接着，瑞秋做了大多数人在这种情况下会做的事：她一次又一次地重启手机。但这毫无帮助。

她走上楼，告诉丈夫亚当（Adam）她的手机用不了了。亚当试着用他的手机拨打瑞秋的手机号码。电话铃声响了，但瑞秋手里的手机并没有亮屏。没有人接听。与此同时，瑞秋登录她的电子邮箱，发现有人正在重置她许多账号的密码。一个小时后，亚当接到了一个电话。

“让瑞秋接听，”电话那头传来声音，“就现在。”

亚当予以了拒绝，问对方发生了什么事。

“你已经被我们完全掌控了，我们将摧毁你的生活。”打电话的人说，“你识趣的话，就让你的妻子接听。”

亚当拒绝了。

“我们会摧毁你的信用记录。”那人接着说，并提到了瑞秋和亚当的一些亲戚以及他们的地址，“如果我们伤害他们会怎样？如果我们毁了他们的信用记录，然后给他们留言说都是你造成的，会怎样？”这对夫妇认为打电话的人是从瑞秋的亚马逊账号上获得那些亲戚的信息的。

这对夫妇还不清楚状况，但他们刚刚成为黑客的最新受害者。这些黑客劫持人们的手机号码，目的是盗取Instagram上有价值的用户名，然后把它们卖掉换取比特币。在2017年夏末的那个晚上，奥斯特伦夫妇是在和两名黑客通电话，后者霸占了瑞秋的Instagram账号@Rainbow。他们现在要求瑞秋和亚当放弃她的Twitter账号@Rainbow。

根据参与过交易的人士的说法和一个热门市场上的行情表，在熙熙攘攘的围绕被盗的社交媒体账号和游戏账号的地下市场，一个简短的、独特的用户名可以卖到500美元到5000美元不等。几名参与过地下市场交易的黑客声称，像@t这样的Instagram账号最近卖到了价值约4万美元的比特币。

通过劫持瑞秋的手机号码，黑客们不仅能接管瑞秋的Instagram账号，还能接管她的亚马逊、Ebay、PayPal、Netflix和Hulu账号。一旦黑客控制了瑞秋的手机号码，她为保护其中一些账号而采取的安全措施(包括双重认证)都无补于事。

“那是一个让人非常紧张的夜晚，”亚当回忆道，“真不敢相信他们竟胆敢给我们打电话。”

被忽视的威胁

今年2月，T-Mobile大范围发出短信，提醒用户警惕一个“全行业的”威胁。该公司表示，犯罪分子越来越多地利用“手机号码转移诈骗”手法来锁定和盗取人们的手机号码。这种骗局也被称为“SIM卡调换”或“SIM卡劫持”，手法简单粗暴，但非常有效。

首先，不法分子假扮成他们的目标人物，拨打手机运营商的技术支持号码。他们向运营商的员工解释说他们“丢失”了SIM卡，要求将自己的手机号码转移或移植到黑客已经拥有的新SIM卡上。通过设置一点社交工程陷阱（通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密）——或许通过提供受害者的社保号码或家庭住址(这些信息通常是因为过去几年频繁发生的数据泄露事件而外泄的)——不法分子说服员工他们真的是手机号所有者，然后员工就会将手机号码移植到新的SIM卡上。

一切都完了。

“有了某人的手机号码，”一个做SIM卡劫持的黑客告诉我，“你可以在几分钟内进入他们所有的账号，而他们对此完全无能为力。”

瑞秋·奥斯特伦德在手机号码被黑客们接管后收到的短信截图

在那以后，受害者失去了手机服务，因为只有一张SIM卡可以连接到手机网络上。黑客可以重置受害者的账号，通常可以通过将手机号码用作账号恢复方式来绕过诸如双重认证的安全措施。

某些服务，包括Instagram，要求用户在进行双重认证设置时提供手机号码，这一规定反而造成的意想不到的影响：给了黑客另一种进入账号的方法。这是因为，如果黑客控制了一个目标对象的手机号码，他们就可以绕过双重认证，获得他们的Instagram账号，连账号密码都不需要知道。

曾被称作CosmoTheGod的黑客埃里克·泰勒(Eric Taylor)将这种技术用于他最有名的一些攻击活动，比如2012年他侵入了CloudFlare首席执行官的邮箱账号。泰勒现在在安全公司Path Network工作，他告诉我，只要手机号码关联了你的任何一个网络账号，你“就很容易受到攻击，他们会在你打电话给你该死的供应商的五分钟内接管你的各种账号。”

“这种事经常发生。”他补充说。

咨询公司Celsus Advisory Group的情报与研究主管罗埃尔·舒温伯格(Roel Schouwenberg)研究过SIM卡调换、绕过双重认证和滥用账号恢复机制等问题。在他看来，没有一个手机号码是百分百安全的，消费者需要意识到这一点。

“任何类型的号码都可以移植，”舒温伯格告诉我，“一个下定决心且设施优良的犯罪分子至少能够获得一个号码的暂时访问权，这通常足以成功完成一场抢劫。”

这令人十分不安。正如他去年在一篇博客文中所说的，手机号码已经成为我们整个网络身份的“万能钥匙”。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!