美国信息泄露严重：黑客补办SIM卡来偷你的账号

用户“Simswap”在OGUSERS上发帖宣传一项伪造ID和其它文件的服务。

安全公司Flashpoint最近进行的一项调查发现，犯罪分子越来越多地从电信业内人士那里得到帮助，来进行SIM卡调换。美国联邦贸易委员会（FTC）前首席技术官洛里·克兰纳(Lorrie Cranor)表示，她已多次看到运营商内部人士牵涉进此类攻击的证据。安全研究员、SIM卡调换先驱泰勒说，他认识一些从门店员工那里得到帮助的人。在安全记者布莱恩·克雷布斯（Brian Krebs）最近写到的一个案例中，一名T-Mobile门店的雇员进行了未经授权的SIM卡调换，进而盗取了一个Instagram账号。

当然，SIM卡调换并不是OGUSERS论坛上的人掌控账号的唯一方式。Thug告诉我，有一种不那么恶劣的、被称为“turboing”的劫持使用程序在账号放出后第一时间自动注册，尽管它没有SIM卡调换那么有效。

但是，如果说窃取手机号码是一种更有效的方法，这并不是因为黑客们缺乏强大的技能。据Ace和Thug估计，只有大约50个OGUSERS成员拥有社交工程技能和技术工具来盗取手机号码。

在和Ace和Thug聊天时，我问他们，当涉及到入侵人们的在线账户、加密货币钱包或银行账户时，他们是否会感到后悔。

“很遗憾地说，一点都不后悔。”Ace说，“我拿了他们的钱过我的生活。是他们没有做好安全措施。”

Thug补充说，像他们这样的犯罪黑客基本上没造成什么伤害，尤其是只是针对用户名的活动。

“就只是盗取一个用户名。没什么特别的，”Thug说，“没有任何的损失，就只是失去一个愚蠢的用户名而已。”

一个日益严重的问题

不管他们是否在售卖Instagram用户名，从事SIM卡调换的人都能赚大钱。

“整个模式非常有利可图，”曾研究基于SIM卡调换的犯罪行为的Recorded Future安全研究员安德烈·巴列塞维奇(Andrei Barysevich)告诉我，“如果你知道如何置换SIM卡，那你就能够赚大钱。”

以虚拟现实公司IRL VR的创始人科迪·布朗（Cody Brown）为例。去年，在黑客控制他的手机号码，然后借此侵入他的电子邮箱和Coinbase账号后，他在短短15分钟内就损失了超过8000美元的比特币。在布朗遭黑客攻击之时，这种攻击非常猖獗，以至于为一些最流行的在线加密货币平台提供双重验证的应用Authy特意提醒用户注意SIM卡调换行为，并增加了额外的安全功能来阻止黑客。

又或者想想，去年，在Motherboard揭露T-Mobile的一个网站有个漏洞可让黑客获取用户个人信息，接着通过设置社交工程陷阱骗过客服代表进行SIM卡调换以后，我在加密聊天应用Signal上收到的那条信息。

“我只是想说，你他妈的曝光了(T-Mobile的)API漏洞，你这吃屎的混蛋。”这个昵称为NoNos的人在信息上写道，“要不是你写了篇文章让全世界都知道这个漏洞，并联系T-Mobile告诉它漏洞的事，漏洞就不会被修补。”

此人接着声称，他们利用这个漏洞攻击了几个人，他们就是在进行SIM卡调换。他们还说，他们利用这种手段锁定有钱人，实施抢劫。

“我通过其他的方法一天赚了30万。”NoNos说。不过Motherboard无法证实这个数字。

“如果有这个能力的‘人’能够对这个国家的任何一个人的手机号码实施SIM卡调换，那么明明可以瞄准那些很有钱的人，你为什么要去把用户名和任意的人作为目标呢？比方说瞄准投资者、股票交易员、对冲基金经理等等。”NoNos继续说道。

除了赛琳娜·戈麦斯以外，其他有名的SIM卡调换受害者还包括Black Lives Matter活动家德雷·麦克森（Deray McKesson）、卡内基梅隆大学网络安全与隐私研究所CyLab的创始人Dena Haritos Tsamtis以及YouTube明星Boogie2988。

在过去的几个月里，30多名SIM卡调换的受害者主动联系我，跟我分享他们在被黑后网络生活和现实生活中被严重破坏的可怖故事。可以说，在美国这种情况至少发生在数百人身上，尽管很难确定到底有多少人被黑客攻击过。只有手机运营商知道问题的严重性，而这些电信运营商都不大愿意谈论这个问题。这种反应或许并不让人意外

现在是卡内基梅隆大学教授的克兰纳表示，在2016年担任美国联邦贸易委员会首席技术官期间，她曾试图了解这种黑客行为有多普遍克兰纳本人同年也成为SIM卡调换的受害者；当时，克兰纳告诉我，她甚至从未听说过SIM卡调换。但是，尽管她在联邦贸易委员会的职位给她带来了权力和影响力，但对于她索取数据的要求，没有一家手机供应商提供任何的数据来说明这些攻击有多普遍。

“运营商显然做得不够，”克兰纳在电话中告诉我，“他们告诉我，他们正在加强防范，也许当初发生在我身上的事情今天不会发生，但我并不相信。我没有看到很多表明他们真的加强防范的证据。他们真的需要把这视作一个很重要的身份认证问题。”

她补充道，运营商很清楚SIM卡调换问题。“虽然他们不愿意承认。”

Motherboard联系了美国四大电信运营商AT&T、Verizon、Sprint和T-Mobile——要求获得关于SIM卡调换盛行率的数据。它们没有一个同意提供这样的信息。

AT&T的一位发言人说，这种欺诈行为“影响到我们少数的客户，它对我们来说是并不多见”。但当被要求澄清“少数”具体是多少时，他没有回应。

T-Mobile发言人在一份声明中说：“SIM卡调换/手机号码转移欺诈成为一个行业问题已经有一段时间了。”她补充说，公司正通过要求客户增加额外的安全措施来应对这些攻击，比如要求要转移手机号码的客户提供PIN码和密码，以及评估新的方法来验证客户账号的变动。该代表拒绝了我提出的安排T-Mobile高管接受电话采访的请求，也没有回答关于这些攻击有多普遍，有多少人被攻击过的问题。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!