【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

SIM 卡换卡是我们面临的最大安全威胁,但重视度却不够

  • 2019-10-16
  • 本文字数:1747 字

    阅读完需:约 6 分钟

SIM卡换卡是我们面临的最大安全威胁,但重视度却不够

虽然这类问题不像其他攻击活动那么普遍,但 SIM 卡更换带来的安全风险,可能远超您的想象。



想象一下,某天您可能打算登录银行账户结算这个月的按揭。突然,银行网站提示您输入的密码有误——怎么回事?意识到可能出现问题的您,马上选择点击链接“重置您的密码”。


这个过程并不复杂,但银行方面会首先输入发送至手机号码的六位数验证码,用以证明申请者确实是您本人。更奇怪的状况发生了,虽然不断申请,但手机这边一直收不到验证短信。


这确实让人有点担心,所以您打电话给银行,并意识到问题的严重性。有人完成了在线支付,但收款方绝对不是贷款银行。相反,他们把这笔资金据为己有,只留下您默默无语两眼泪。


而他们所掌握的,只是一条公开度最高的个人信息:电话号码。

SIM 换卡问题

可能很多朋友觉得这事可能性太低,那不妨先问问Twitter公司CEO Jack Dorsey怎么看——他在几周前,就曾遭遇过这类黑客攻击。这种方式被称为 SIM 换卡攻击,而且严重程度远超我们的想象。换言之,如果 Twitter 公司 CEO 的手机号码都不安全,那咱们恐怕也是时候提高警惕了。


事实上,之所以这类攻击活动还不是很常见,主要原因在于攻击者需要为此付出相当大的精力。整个攻击过程需要暴力攻击、社会工程、技术知识再加上一定的运气。



在掌握您的手机号码后,黑客要做的就是说服任何一位有权访问客户记录(例如零售商店的管理人员或者客户服务代表)的现场员工,让他们相信他(或者她)就是您。接下来,他们就可以把合法电话号更换到自己的手机 SIM 上。


由于并不是要询问任何与账户相关的个人信息,而只是因为手机丢失(或者其他一些听起来非常合理的理由),因此换卡过程其实并不困难。当然,对方可能要求您提供附有照片的身份证,但这些工作人员往往年纪不大、经验不足,随便弄张假身份证对方一般也不会较真。


再强调一次,攻击者会选择那些年少无知的工作人员下手。而一旦成功,无论我们的密码多么安全,都会被恶意人士轻松绕过。


我与 Flashpoint 公司安全研究总监 Allison Nixon 进行了交谈,他建议企业应重新考虑如何保护客户信息并提供密码重置服务。

电话号码并不私密

这是因为我们目前正广泛使用手机号码抵御网络犯罪,但这些号码并不私密,而不可能成为可靠的安全保护形式。事实上,目前几乎所有常见的双因素身份验证与密码重置机制,依赖的都是大家的手机号码。


这背后的基本思路非常简单,服务供应商希望验证当初注册时预留的手机号码,是否与目前正在申请操作的使用者对应得上。


几乎每一位年满 12 岁的公民都会获得自己的手机,所以这种作法确实具有良好的普适性。但是电话号码并不安全。我在成年之后大概用过十几个手机号码,而这些号码如今已经成为他人的合法专属号码。



考虑到电话号码脆弱的安全属性,再加上其背后所保护的大量个人及财务信息,我认为应该有人站出来做点什么。更重要的是,目前绝大多数人还没有意识到 SIM 卡换卡风险到底有多么恐怖且普遍。


没错,这种情况并不常见,但Jack Dorsey很清楚一旦发生问题,代价到底有多么惨痛。

没人站出来解决这个问题

遗憾的是,这个问题并不容易解决。企业部署的每一套面向客户的系统都必须做出权衡——一方是满足客户需求时设置的操作门槛,另一方是给入侵者设下的挑战。坏消息来了,这种挑战的难度越高,客户正常使用时就越不方便。因此即使是为了客户安全着想,如果把这种验证门槛设得太高,使用者也只会转投其他服务商。


人总是抱有一种侥幸心理,认为坏事不会发生在自己身上,因此大家更强调操作的便捷性,而非安全保障的可靠性。这种权衡在目前乃至可预见的未来,都将一直存在。


Nixon 告诉我,最好的办法当然是马上“停止这种利用电话号码实现的保护方式”。此外,她还建议对刚刚更换过验证手机号的账户进行查验,或者要求申请者提供其他一些与个人身份相关的非公开信息。


到目前为止,最好的解决方案基本就是 Apple Pay 形式的多终端验证。如果我在笔记本电脑上使用 Apple Pay,系统会要求我使用 FaceID(或者在较早版本的手机上使用 TouchID)进行验证,而后才能完成付款。据我所知,换脸或者换指纹这事只存在于电影当中——只有这样,我们才能放心地通过网络管理自己的资产。


原文链接:


SIM-Swapping Is the Biggest Security Threat You Face and Almost No One Is Trying to Fix It. Here’s Why It Matters.


2019-10-16 15:504855

评论 1 条评论

发布
用户头像
希望运营商尽早推广e-sim卡服务
2019-10-19 22:24
回复
没有更多了
发现更多内容

Jmix 中 REST API 的两种实现

世开 Coding

Java Spring Boot Jmix 少代码 企业级开发

如何使用iMazing监督、配置器功能

淋雨

ios iphone

Netty高性能之Reactor模型

C++后台开发

后台开发 reactor 多线程 网络io模型 C++开发

[iOS研习记]聊聊iOS中的Mach-O

珲少

为什么说企业需要实施知识管理?

Baklib

荣耀开发者平台全面升级,加强分发场景服务与能力开放

荣耀开发者服务平台

开发者 手机 安卓 荣耀 honor

西部省份数字化需求暴涨 首届828 B2B企业节见证企业数字化新浪潮

科技热闻

行走的Offer收割机!首次公布Java10W字面经,Github访问量破百万

Geek_0c76c3

Java 数据库 开源 程序员 面试题

存储资源盘活系统,“盘活”物联网架构难题(上)

天翼云开发者社区

数据中台与数据平台有什么区别?

雨果

数据中台 数据平台

企业知识管理怎样做?一些解决方案分享!

Baklib

知识经济时代的基石:知识协同

Baklib

SaaS时代,您的企业与团队需要知识管理工具

Baklib

微服务框架搭建过五关斩六将—第一关(网关)

为自己带盐

微服务 网关 9月月更

一文读懂“云游戏”

Finovy Cloud

人工智能 云渲染 云游戏

易观分析对《上海市促进人工智能产业发展条例》的解读

易观分析

人工智能 上海

【redis】Redis cluster是AP架构还是CP架构?

非晓为骁

redis 分布式架构 redis cluster 分布式理论

千亿流量并发治理!Alibaba实战Sentinel笔记,为微服务保驾护航

Geek_0c76c3

Java 数据库 开源 程序员 架构

区块链商城dapp系统开发,代币模式定制

开发微hkkf5566

英特尔发力“系统级代工”,为芯片制造带来全新可能

科技之家

聊一聊新陈代谢

Taylor

创新 新陈代谢

计算机网络——媒体接入控制——静态划分信道

StackOverflow

编程 计算机网络 9月月更

led显示屏的合理亮度很有必要

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

仅靠一文便火爆全网!开源阿里绝密800页JDK源码笔记:霸榜GitHub

Geek_0c76c3

Java 数据库 程序员 架构 开发

架构---作业1

李某人

架构实战营

计算机网络——点对点协议PPP

StackOverflow

编程 计算机网络 9月月更

健康信息化不断建设——2022年8月互联网医疗月度观察

易观分析

医疗

AX200NGW//2×2.4GHz 2x5GHz MT7915 MT7975 //AR9582 2x 2 900M 802.11an//network card//wallys

wallys-wifi6

MT7915 AX200NGW AR9223

架构三原则学习心得

Jack

架构 #架构训练营

计算机网络——媒体接入控制的基本概念

StackOverflow

编程 计算机网络 9月月更

分布式系统中自适应统计信息收集策略

KaiwuDB

SIM卡换卡是我们面临的最大安全威胁,但重视度却不够_安全_Jason Aten_InfoQ精选文章