我用自己的手機號 “黑了” 我的賬戶
作者:星期一, 十一月 25, 20190

本應保護賬戶安全的一項功能——綁定手機號,已成 SIM 交換事件中的攻擊方法。且看其運行機制并了解該如何防護。

作者簡介:Nicole Sette,著名估值及咨詢服務公司 Duff & Phelps 旗下 Kroll 部門網絡風險實踐主管,注冊信息系統安全師 (CISSP),15 年網絡情報調查與技術分析經驗。Nicole 作為網絡情報分析師為 FBI 工作近 10 年時間,并在美國陸軍通信-電子司令部任了四年情報專家。她畢業于斯坦福大學,并在美國國家情報大學獲得戰略情報碩士學位。

在 Kroll,Nicole 創建戰略網絡情報產品,并執行各類網絡安全調查,包括涉及電子郵件入侵的事件響應、SIM 交換、賬戶接管、勒索軟件和惡意軟件計算機入侵。除了了解網絡相關事件中人的因素,Nicole 還具備很強的技術專業技能,包括網絡分析、工業網絡安全、取證和事件處理,以及暗網調查。

作為網絡風險調查公司董事和前 FBI 網絡分析師,我非常熟悉 SIM 交換威脅。對很多人而言,說到 SIM 交換就會聯想起黑客接入一家電話公司,或者外國間諜置換 SIM 卡以避免政府監視的場景。事實上,SIM 交換是全球電話公司日常進行的一項合法功能。最基本的層面上,電話服務提供商使用 SIM 交換將用戶現有手機號轉至新手機和 SIM 卡上。

不幸的是,罪犯也知道怎么使用 SIM 交換來攫取利益。罪犯誘騙或賄賂電話公司雇員將受害者手機號遷至其控制下的新手機和 SIM 卡。但為什么罪犯想要控制他人的手機號呢?

這就涉及到現代手機身份驗證的概念了。在線服務提供商使用雙因子身份驗證 (2FA) 方法,通過向賬戶之前綁定的手機號發送一次性密碼來驗證用戶身份。雖然這是重置遺忘密碼的簡便方式,卻也讓控制該手機號的任何人都可以訪問關聯此號碼的電子郵件、社交媒體及金融賬戶。如果希臘戰士阿基里斯代表 2FA 所有榮光,那基于短信的手機身份驗證就是阿基里斯之踵。

一個手機號連黑三個賬戶

靠手機號黑掉某人的想法太過迷人,我決定模擬僅用自己的手機號黑掉自身賬戶。先從推特賬戶開始。我選擇了 “忘記密碼?”,然后看到了 “輸入手機號” 的選項。此時我根本不記得曾經給我的推特賬戶關聯過手機號,但我決定嘗試一下。

我的手機很快就收到了推特發出的一次性密碼。而且鎖屏通知上就能看到。將此密碼輸入推特網站,彈出新密碼設置窗口,賬戶完全控制權就此入手。由于短信通知出現在手機鎖屏上,只要拿到我的手機且知道我手機號,任何人都可以接管我的推特賬戶。

最為困擾的是,知道我手機號的任一家庭成員、朋友或同事都能把號碼填進推特的“忘記密碼?”字段,隨手拿過我已鎖屏的手機就能看到該一次性密碼,然后登錄我推特賬戶一覽無余。甚至都不需要 SIM 交換。

這一場景的隱私問題令人坐立難安,且還凸顯出用戶賬戶控制權失竊的潛在嚴重影響——獲得賬戶控制權的人有可能從其社交媒體賬戶發布攻擊性內容,甚至將賬戶用于犯罪。入侵者(比如同床異夢的配偶或懷恨在心的同事)僅需知道受害者手機號和能看到手機,即使手機鎖屏。我確實收到了推特發送的一封密碼已重置通知郵件,但攻擊者可以同樣的技術獲取我電子郵件賬戶權限,然后刪除這些通知。

乘著推特賬戶入侵成功的東風,我用同樣的技術搞定了我過時的 Hotmail 賬戶。步驟包括點擊 “忘記密碼”,輸入我(很好猜)的電子郵件地址,在彈框里輸入我的手機號。然后,一次性密碼就發到了我手機上,讓我得以重置密碼,查閱多年來的電子郵件通信,完全跳過了我之前為此賬戶設置的超復雜密碼。我都開始看到 SIM 換客或者八卦人士有多容易從一個手機號窺探無數賬戶了。

此時我處于 “攻擊者思維” 模式,在我的 Hotmail 收件箱里搜索財務報表。我發現了一封來自金融機構的郵件,點擊了 “查看報表”。黑掉該金融賬戶所需的工作不僅僅是輸入一個手機號那么簡單,但也就多了一步輸入身份證號——這東西通常可從暗網市場上買到。實驗進行到這里,我已經入手了一個社交媒體賬戶、一個存了財務報表的電子郵件賬戶,還有一個可以轉出資金的金融賬戶。

經驗教訓

我從用自己的手機黑掉自身賬戶的實驗中學到了什么呢?最主要的是,如果我的賬戶沒跟我手機綁定,僅僅由我設置的復雜密碼保護,或許還更安全些。

很多在線提供商建議綁定手機作為實現 2FA 的一種方式。2FA 的兩個驗證因素:一個是你知道的東西,另一個是你擁有的東西。實際上,2FA 用于在一開始將用戶手機號綁定在線賬戶;但手機號確認之后,賬戶身份驗證過程通常就倒退到單因子驗證(就一個手機號)了。

由基于短信的身份驗證場景激發出來的虛假安全感,令用戶面對 SIM 交換攻擊和隱私漏洞毫無防備。除非你禁用了手機的某些通知功能,否則能看到你鎖屏手機的人就可能訪問你的社交媒體、電子郵件甚至金融賬戶,所需僅為公開可知的手機號和電子郵件地址。

結語

本次實驗促使我立即做出一些改變,建議各位讀者參考照做:

1. 我將刪除我在線賬戶中的手機號,以復雜密碼和更健壯的 2FA 選項來驗證在線賬戶,比如 Google Authenticator、Microsoft Authenticator、Duo 或 YubiKey 之類 USB 硬件驗證設備。(我顯然不會把自己的手機號關聯上這些 2FA 應用。)

2. 我將通過存檔和備份電子郵件來保護敏感郵件內容,以防被黑時遭入侵者讀取。

3. 為抵御 SIM 交換攻擊,我將給我的移動賬戶添加 PIN 碼,并計劃要求 SIM 交換僅能本人親自做出。

4. 為防來自機會主義偷窺者的手機身份驗證攻擊,我已經禁用了手機的鎖屏通知功能。

最重要的是:宣傳為使賬戶更安全的一項關鍵功能——綁定手機號,已在越來越多的 SIM 交換事件中被實際證明是種攻擊途徑。這種攻擊的安全和隱私影響很嚴重,業界需以更安全的身份驗證機制代替基于短信的手機身份驗證。

相關閱讀

 

繞過短信雙因子身份驗證的六種方法

對多因子身份驗證的四個錯誤看法

 

 


相關文章

寫一條評論

 

 

0條評論