在开始之前,我们先来了解一个小故事。就在去年八月,Twitter的首席执行官杰克·多尔西(Jack Dorsey)遭到一群黑客的妥协,杰克·多尔西借此机会向他的420万推特粉丝发布了反犹太主义和种族主义言论。在研究了该问题之后,Twitter的团队确认他已成为Sim Swapping Attack的受害者。
相同的攻击曾被用来入侵其他知名人物,例如杰西卡·阿尔芭(Jessica Alba),并耗尽像您和我这样的普通人的加密货币和传统银行帐户。那么如何保护自己免受Sim Swap攻击?这是所有问题的概述,以及如何保护自己免受下一个威胁。 如果能得到杰克·多尔西的方法,就能保护自己免受Sim交换攻击的简单方法。
Sim交换的工作原理
现在,许多安全的网站和服务(例如银行,电子邮件和社交媒体)将我们的手机号码连接起来,作为第二种身份验证方式,目的是验证您是真实的人。这很容易,因为基本上我们每个人都有一个移动电话号码,这为试图创建大量假帐户的不良演员创造了进入障碍。
尽管此方法确实提供了一些好处和附加的安全级别,但它具有一些相当大的漏洞。
“模拟交换”是指犯罪分子与您的电话公司和社会工程师联系,或者欺骗他们,以将您的移动连接更改为他们控制的设备。例如,他们可能打电话给您的提供商,并假装是您,并说您的手机已被盗,您需要他们将服务切换到刚购买的新手机。
或者,他们可能只是口袋里有手机提供商的一名雇员,可以执行SIM卡交换而无需进行社会工程。
将您的SIM卡交换到新设备后,犯罪分子将收到您的所有短信和电话。然后,犯罪分子使用您的手机号码来重置密码并访问所有安全帐户,这通常会在几分钟之内帮助您保护自己的加密货币和银行帐户余额。
他们还可能将您拒于社交媒体或云存储服务之外,并要求赎金以换取安全返回您的个人信息。这种攻击的唯一一线希望是,一旦发生这种情况,您将立即知道,因为您的设备将失去服务。
很吓人吧?使用您电话号码的任何服务都容易受到此类攻击,世界上任何人都可以在没有任何特殊技术知识的情况下执行该攻击。
认为您的承运人可以确保您的安全?普林斯顿大学今年发表的一项研究发现,包括ATT,T-Mobile和Verizon等在内的美国主要运营商肯定容易受到Sim Swapping的影响。
要保持安全,就需要您采取积极行动。这里有一些保护自己的策略。
首先要做的事情-启用2FA
尽管存在Sim Swapping的风险,但您应始终在帐户上启用2因子身份验证。通过使用用户名和密码之外的辅助密码发送到您的手机,这将确保您的帐户安全,从而可以访问您的帐户。2FA现在是大多数安全服务的标准功能,可以在登录名和安全设置中启用。
虽然我意识到我只是花了几段描述基于SMS的身份验证的缺点,但现实是启用它可以阻止大多数威胁。即使犯罪分子通过恶意软件或数据泄露来发现您的密码,他们仍然需要访问您的SMS消息才能进入您的帐户。
大多数攻击者都不会费心去执行SIM卡交换,而只会简单地转到没有启用2FA的目标。
就是说,重要的是要记住,许多服务将使您仅使用手机号码即可重置密码。因此,攻击者通常无需知道您的密码就可以使用Sim Swap来访问帐户。
您的第一道防线-沟渠短信
保护自己的最简单方法是选择可用的基于应用程序的2FA。虽然启用2FA总比没有好,但许多服务提供了两种。最常见的是基于SMS的,它将SMS发送到您的手机,并且容易受到Sim Swaps的攻击。不太常见但更安全的是基于应用程序的身份验证。
您的验证码不是通过短信发送给您,而是由您的移动设备上的Authenticator应用生成的,其中最受欢迎的是Google Authenticator。
您需要做的就是下载一个身份验证器应用程序,然后在每个帐户上配置2FA设置时选择基于应用程序的身份验证。系统将提示您使用身份验证器应用程序扫描QR码,然后进行设置!
当要求输入验证码时,只需打开手机上的应用程序,然后输入显示在您要访问的网站上的6位数字即可。
身份验证器应用程序不受Sim交换影响。这些应用程序依赖于您的物理设备特有的详细信息,而电话公司无法将其转移到另一设备。这意味着,即使攻击者设法接管了您的邮件,他们也将无法复制您的唯一身份验证码或进入您的帐户。
最佳解决方案-私人电话号码
尽管在理想情况下,Authenticator应用程序可以解决我们所有的问题,但挑战在于许多网站不支持基于应用程序的身份验证。有趣的是,我所有的银行帐户和信用卡都提供基于SMS的身份识别作为唯一选择。那么我们如何保护自己呢?
由于我们知道可以利用任何和所有运营商进行此攻击,因此我们唯一的解决方案是使用没人知道的电话号码。如果攻击者不知道使用哪个号码,则无法执行“模拟交换”。令人高兴的是,安全服务不会向攻击者透露我们的电话号码-他们通常必须通过其他方式来找到它们。
没有人知道的电话号码打败了电话的要害,因此仅出于此目的而购买第二部电话是有意义的。
前往附近的大型零售商购买最便宜的预付费电话并计划。您只需要使用一次此手机。由于在这种情况下,我们不打算将此手机用作匿名工具,因此也可以在线订购。
Mint Mobile倾向于为我们的目的提供最实惠的计划,以5美元的价格提供7天的试用期。您可以使用与他们的服务兼容的备用手机,也可以购买便宜的,未锁定的翻盖手机,价格约为30美元。
有了预付费设备后,请按照说明继续操作并记下您的新私人移动电话号码。这是您将在所有服务中专用于2FA的数字。在继续之前,我们将希望切换到免费的移动套餐,这样您就不必每月都为Mint的无线服务付费。那就是Google语音的来源。
导航到Google语音并登录到您现有的Google帐户或创建一个新帐户。这是确保您的Google帐户已启用基于应用程序的2FA的好时机。注册后,您需要按照以下说明将您的私人预付费电话号码移植到Google语音。
完成此交易您需要支付少量费用,通常为20美元,但作为交换,您将可以永久免费地以该号码接收电话和短信!这比在我的书中从Mint购买每月计划要好。
虽然您可以使用Google语音从浏览器接受呼叫和短信,但我认为这很痛苦。建议您下载Google语音应用以在您的移动设备上接收文本。不用说,您不应该使用Google语音的转发服务将文本转发到您的主号码,因为这样做会违背本练习的目的。
在此阶段,您可以收起预付费翻盖手机或备用设备,因为您将不再需要它。
现在,您就可以在所有帐户上将其设置为2FA电话号码,知道您已受到完全保护。没有人知道您的新电话号码,即使他们找到了它,由于启用了基于应用程序的2FA,他们也无法进入您的Google帐户进行访问。
免费VoIP电话号码如何?
实际上,Google语音和许多其他服务允许您免费注册电话号码,为什么我们不使用这些电话号码?您可以尝试-但大多数服务不接受VoIP号码。原因很简单:可以轻松,廉价地匿名获取,因此犯罪分子和其他不良行为者经常使用它们。
为了避免这种限制,我们首先在预付费运营商处注册了该号码,然后将其移植到VoIP服务。您使用的服务无法知道您如何接收消息,他们只知道为VoIP服务保留了哪些号码,并阻止了这些号码的注册。由于您使用的是最初为预付费运营商保留的号码,因此您会一目了然。
以上就是关于如何保护自己免受Sim Swap攻击的全部内容。尽管实施此安全措施的成本和时间不多,但与数据泄露的财务和情感复杂性相比,它显得苍白。该解决方案将有效地保护您免受大多数网络威胁的影响,而无需您付出太多努力。网络安全无疑是积极主动地值得付出的领域之一。想了解更多网络安全的信息,请继续关注。