SIM卡是手機連接到網絡的鑰匙。
同時也是通信運營商為用戶配備的身份卡。
這張小小的卡上包含了用戶的大量信息和加密密鑰等。
因此一旦號碼落入其他人手中,後果將不堪設想。
SIM卡交換攻擊
最近兩年來,隨著手機銀行的普及,犯罪分子日益猖獗,利用SIM卡進行攻擊的趨勢日漸上升,此前我們曾報道過攻擊者利用SIM卡漏洞監控全球10億用戶。而這次,新的SIM卡交換攻擊則會控制目標用戶的手機號碼,從而獲取加密貨幣。
近期,美國當局從麻省逮捕了兩名青年黑客,分別是20歲和21歲,他們二人聯手使用SIM交換攻擊對至少10名受害者造成了損失,竊取了550000美元的加密貨幣。
什麼是SIM卡交換攻擊呢?
其實就是通過欺騙通信運營商,將目標手機的電話號碼轉移到了攻擊者所持有的SIM卡上。
如何讓通信運營商相信自己是本人呢?攻擊者會收集特定目標的身份識別信息,使用一些社交手段向運營商證明“我就是你”。
例如冒充受害者並聲稱他們丟失了手機,需要在新的SIM卡上激活原來的號碼,一招偷天換日就成功讓運營商掉入陷阱之中,也給SIM卡的正主帶來了更多麻煩。
漏洞影響
一旦控制了目標的手機號碼,攻擊者就可以利用它來重置受害者的密碼並登錄他們的在線帳戶,一般情況下加密貨幣帳戶和金融賬戶是最常見的目標。
由於許多身份驗證都是使用手機號碼驗證身份,為黑客打開了方便之門。這樣一來,所有的攻擊都變得相對容易操作,就連雙重身份驗證保護無法防禦。
這也就意味著你的社交賬號、電子郵件、銀行和加密賬戶都可以被黑客輕鬆訪問。
在這次的事件中,兩名黑客還針對公司高管這種高價值加密貨幣賬戶的用戶發起攻擊以獲得鉅額利潤。
那麼如何判斷你也遭遇了SIM卡攻擊呢?
當你的手機在信號很強的地方突然沒有信號了,並且持續時間比較長,那麼你就要小心了。
對此,美國聯邦貿易委員會(FTC)在10月發佈了建議來保護自己免受SIM卡交換攻擊。
- 不要回復需要你提供個人信息的電話、電子郵件或短信。
- 不要在線共享過多的個人信息。
- 在您的手機帳戶上設置PIN或密碼。
- 對包含敏感信息或財務信息的賬戶使用更強的身份驗證。
如果你已經被SIM卡交換攻擊所騙,請立即聯繫運營商舉報欺詐行為,暫時凍結您的電話號碼,並立即更改其他賬戶的密碼。
* 本文由看雪編輯 LYA 編譯自 The Hacker News,轉載請註明來源及作者。
* 原文鏈接:
https://thehackernews.com/2019/11/hacking-with-sim-swapping.html
閱讀更多 看雪學院 的文章
