美国信息泄露严重：黑客补办SIM卡来偷你的账号

“我真的不明白你为什么要获得这些数据。”该发言人表示，“考虑到我们有7200万客户，受影响的客户并不多。但很显然，没有公司会愿意看到这种情况发生在客户身上，哪怕只是一个客户。”去年10月，T-Mobile曾向“数百名客户”发出了警告，这些客户属于黑客的攻击目标。

Sprint拒绝提供任何关于SIM卡调换事件的数据，只是发表了一份声明建议客户定期更改密码。Verizon的发言人也没有提供任何关于SIM卡被劫持的普遍情况的数据，但是他说需要有“正确的账号和密码/PIN码”才能进行SIM卡调换。

今年早些时候，这四家主流运营商公布了移动认证项目Mobile Authentication Taskforce。这一项联合行动旨在创建一种新的解决方案，来让用户通过使用手机上的认证信息来验证登录网站和应用程序。科技媒体将其描述为基于SMS短信的双重认证的潜在替代品。基于SMS短信的双重认证被广泛认为是不合格的。但是目前还没有关于这个新解决方案将如何实施的细节，也不清楚它是否会有助于减少SIM卡调换的发生。

FTC的发言人指出了该机构2017年的《消费者保护数据手册》(Consumer Sentinel Data Book)，该文件汇总了消费者对欺诈、诈骗和身份盗窃等行为的报告，但它没有具体的SIM卡调换条目。该发言人说，这类事件“可能会被纳入”电话或公用事业欺诈，上面记录了3万多起有关手机欺诈的报告。

FTC的《消费者保护数据手册》第14页的截图

美国联邦调查局(FBI)的发言人表示，该局对此类黑客行为没有任何数据。该机构负责调查全美范围内的欺诈和犯罪行为。

即使数目很小，这种黑客攻击也可能会造成很大的伤害。至少，从其中恢复过来也需要耗费大量的时间和精力。问问曾遭受SIM卡调换的法尼斯·普里纳基斯（Fanis Poulinakis）就知道了，今年早些时候他告诉了我他的受害经历。

普里纳基斯说，有一天他的手机突然用不了，于是他立即登录到自己的网上银行账户。“果不其然！”他说，“2000美元都消失不见了。”然后，普里纳基斯花了一整天的时间在T-Mobile和大通银行（Chase Bank）之间来回跑，试图搞清楚究竟发生了什么。

“真是一场噩梦啊。”

从受害者变身侦探

对于瑞秋和亚当夫妇来说，2017年9月6日晚是一个十分漫长的夜晚。

在电话里，亚当试图尽可能地拖住黑客们，主要是想弄清楚究竟发生了什么事，以及不法分子们都获取了些什么。他们越来越不耐烦，不断要求这对夫妇放弃瑞秋的Twitter账号@Rainbow。如果同时控制同一用户名的Twitter账号和Instagram账号，黑客就有机会在交易中赚到更多的钱。正如其他黑客向我解释的那样，有关联初始邮箱会使得这些账号更加值钱，因为那样的话原来的账号持有人更难从黑客手中追回账号。

亚当累了，挂断了电话。黑客们不久后给他发了短信。

据亚当与Motherboard分享的聊天记录显示，其中一条短信写道：“我要睡觉，能不能干脆点呢？现在就在Twitter上更改邮箱。你别逼我，如果你不马上回复的话，不管你手里握着什么，你都不会好过。”

然后，黑客们又打来电话。这一次，说话的是一个冷静的、不那么吓人的人。

根据通话录音，第二个黑客告诉亚当，并为第一个黑客的粗暴态度道歉。“这不是私人恩怨，我可以向你保证什么都不会发生。”

在这次通话期间，当地执法人员在接到瑞秋的报警后到达奥斯特伦德的家里。当这对夫妇解释发生了什么事时，警察们似乎很困惑，说他们真的帮不上忙。这对夫妇一整个晚上都在试图从这次黑客攻击中恢复过来。从T-Mobile那里取回手机号码后，他们马上用它来重置所有账号的密码，就像黑客所做的那样，以便找回被盗的账号。除了已经被黑客们完全掌控的Instagram账号@Rainbow以外。

过了三天，瑞秋和亚当决定亲手解决这件事情。他们会自己去追踪黑客。

瑞秋说，她注意到自己被重置密码的Instagram账号有一个关注者：@Golf，其个人资料显示那个关注者叫奥斯汀(Austin)。瑞秋和亚当告诉我，在这个账号里，他们发现了一张他们认为是在科罗拉多斯普林斯的一场音乐会上拍下的照片；通过查看@Golf的关注者，他们查到了黑客的Twitter账号和Facebook账号。他们借此发现了他们所称的黑客的真实身份。

Motherboard无法证实黑客的身份。

在调查过程中，瑞秋和亚当还在OGUSERS论坛上发现了一个昵称为Darku的黑客在出售@Golf和其他独特的Instagram用户名。在这对夫妇看来，这表明Darku控制了@Golf，由此推断他们的账号@Rainbow也是被Darku控制了。

Darku在售卖Instagram账号@Hand的帖子。

在一次在线聊天中，Darku告诉我，他今年18岁，是几个黑客组织的成员。他否认从事过SIM卡调换，还否认自己是盗取了@Rainbow和@Hand的黑客，并声称他是通过与一个朋友交易得到@Hand的，自己从未拥有过@Rainbow。

“我不会去进行轻度犯罪，”Darku说，“我到处都有人脉，因而不需要为了得到我想要的东西而进行欺诈。”

在我今年5月在OGUSERS上与他取得联系后，Darku写了一篇帖子，警告大家FBI可能正在调查这个论坛。据Darku说，我的问题很可疑——他不确定我是否真的是我所声称的那个人。

“我的一些朋友最近和FBI有过接触，被询问他们的一些用户名的事情以及它们是如何获得的。”Darku写道，“如果你被任何声称来自任何主流新闻机构的人联系过，请保持警惕。”

一些用户似乎很困惑，想知道为什么FBI会对用户名的交易市场有兴趣。

“这与用户名无关，”另一位用户回答道，“这事关用户名的获取途径。他们肯定知道用户名售卖活动背后的黑幕。”

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!