美国信息泄露严重：黑客补办SIM卡来偷你的账号

用户“Simswap”在OGUSERS上发帖宣传一项伪造ID和其余文件的处事。

安详公司Flashpoint最近举办的一项观测发明，犯法分子越来越多地从电信业内人士哪里获得辅佐，来举办SIM卡变更。美国联邦商业委员会（FTC）前首席技能官洛里·克兰纳(Lorrie Cranor)暗示，她已多次看到运营商内部人士牵扯进此类进攻的证据。安详研究员、SIM卡变更先驱泰勒说，他熟悉一些从门伙计工哪里获得辅佐的人。在安详记者布莱恩·克雷布斯（Brian Krebs）最近写到的一个案例中，一名T-Mobile门店的雇员举办了未经授权的SIM卡变更，进而偷取了一个Instagram账号。

虽然，SIM卡变更并不是OGUSERS论坛上的人掌控账号的独一方法。Thug汇报我，有一种不那么恶劣的、被称为“turboing”的挟制行使措施在账号放出后第一时刻自动注册，尽量它没有SIM卡变更那么有用。

可是，假如说窃取手机号码是一种更有用的要领，这并不是由于黑客们缺乏强盛的手艺。据Ace和Thug预计，只有约莫50个OGUSERS成员拥有交际工程手艺和技能器材来偷取手机号码。

在和Ace和Thug谈天时，我问他们，当涉及到入侵人们的在线账户、加密钱币钱包或银行账户时，他们是否会感想反悔。

“很遗憾地说，一点都不反悔。”Ace说，“我拿了他们的钱过我的糊口。是他们没有做好安详法子。”

Thug增补说，像他们这样的犯法黑客根基上没造成什么危险，尤其是只是针对用户名的勾当。

“就只是偷取一个用户名。没什么出格的，”Thug说，“没有任何的丧失，就只是失去一个愚笨的用户名罢了。”

一个日益严峻的题目

不管他们是否在售卖Instagram用户名，从事SIM卡变更的人都能赚大钱。

“整个模式很是有利可图，”曾研究基于SIM卡变更的犯法举动的Recorded Future安详研究员安德烈·巴列塞维奇(Andrei Barysevich)汇报我，“假如你知道怎样置换SIM卡，那你就可以或许赚大钱。”

以假造实际公司IRL VR的首创人科迪·布朗（Cody Brown）为例。客岁，在黑客节制他的手机号码，然后借此侵入他的电子邮箱和Coinbase账号后，他在短短15分钟内就丧失了高出8000美元的比特币。在布朗遭黑客进攻之时，这种进攻很是猖狂，以至于为一些最风行的在线加密钱币平台提供双重验证的应用Authy特意提示用户留意SIM卡变更举动，并增进了特另外安详成果来阻止黑客。

又可能想想，客岁，在Motherboard揭破T-Mobile的一个网站有个裂痕可让黑客获取用户小我私人书息，接着通过配置交际工程陷阱骗过客服代表举办SIM卡变更往后，我在加密谈天应用Signal上收到的那条信息。

“我只是想说，你他妈的曝光了(T-Mobile的)API裂痕，你这吃屎的忘八。”这个昵称为NoNos的人在信息上写道，“要不是你写了篇文章让全天下都知道这个裂痕，并接洽T-Mobile汇报它裂痕的事，裂痕就不会被修补。”

此人接着声称，他们操作这个裂痕进攻了几小我私人，他们就是在举办SIM卡变更。他们还说，他们操作这种本领锁定有钱人，实验掳掠。

“我通过其他的要领一天赚了30万。”NoNos说。不外Motherboard无法证拭魅这个数字。

“假若有这个手段的‘人’可以或许对这个国度的任何一小我私人的手机号码实验SIM卡变更，那么显着可以对准那些很有钱的人，你为什么要去把用户名和恣意的人作为方针呢？例如说对准投资者、股票买卖营业员、对冲基金司理等等。”NoNos继承说道。

除了赛琳娜·戈麦斯以外，其他著名的SIM卡变更受害者还包罗Black Lives Matter勾当家德雷·麦克森（Deray McKesson）、卡内基梅隆大学收集安详与隐私研究所CyLab的首创人Dena Haritos Tsamtis以及YouTube明星Boogie2988。

在已往的几个月里，30多名SIM卡变更的受害者主动接洽我，跟我分享他们在被黑后收集糊口和实际糊口中被严峻粉碎的可怖故事。可以说，在美国这种环境至少产生在数百人身上，尽量很难确定到底有几多人被黑客进攻过。只有手机运营商知道题目的严峻性，而这些电信运营商都不大乐意评论这个题目。这种回响或者并不让人不测

此刻是卡内基梅隆大学传授的克兰纳暗示，在2016年接受美国联邦商业委员会首席技能官时代，她曾试图相识这种黑客举动有多广泛克兰纳本人同年也成为SIM卡变更的受害者；其时，克兰纳汇报我，她乃至从未传闻过SIM卡变更。可是，尽量她在联邦商业委员会的地位给她带来了权利和影响力，但对付她索取数据的要求，没有一家手机供给商提供任何的数据来声名这些进攻有多广泛。

“运营商显然做得不足，”克兰纳在电话中汇报我，“他们汇报我，他们正在增强防御，大概当初产生在我身上的工作本日不会产生，但我并不信托。我没有看到许多表白他们真的增强防御的证据。他们真的必要把这视作一个很重要的身份认证题目。”

她增补道，运营商很清晰SIM卡变更题目。“固然他们不肯意认可。”

Motherboard接洽了美国四大电信运营商AT&T、Verizon、Sprint和T-Mobile——要求得到关于SIM卡变更流行率的数据。它们没有一个赞成提供这样的信息。

AT&T的一位讲话人说，这种诓骗举动“影响到我们少数的客户，它对我们来说是并不多见”。但当被要求澄清“少数”详细是几多时，他没有回应。

T-Mobile讲话人在一份声明中说：“SIM卡变更/手机号码转移诓骗成为一个行业题目已经有一段时刻了。”她增补说，公司正通过要求客户增进特另外安详法子来应对这些进攻，好比要求要转移手机号码的客户提供PIN码和暗码，以及评估新的要领来验证客户账号的变换。该代表拒绝了我提出的布置T-Mobile高管接管电话采访的哀求，也没有答复关于这些进攻有多广泛，有几多人被进攻过的题目。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!