即使采取了相当大的安全预防措施,Twitter首席执行官杰克·多尔西也成为了一个令人尴尬的妥协的受害者,当时攻击者通过劫持他的电话号码来控制他在平台上的帐户。
Dorsey成为所谓的“SIM交换”欺诈的最新目标,欺诈者欺骗移动运营商转移号码 - 可能导致人们失去对社交媒体,银行账户和其他敏感信息的控制。
这种类型的攻击通过文本消息针对“双因素身份验证”中的弱点来验证对帐户的访问,这已成为近年来流行的闯入方法。
Twitter周五表示,该帐户在短暂的一段时间内恢复,攻击者发布了一系列令人反感的推文。
但总部位于亚利桑那州的安全公司Trusona的创始人Ori Eisen表示,快速修复不应被视为解决SIM交换欺诈这一广泛问题的答案。
“问题还没有结束,”艾森说,并指出这些攻击已被用来接管其他备受瞩目的社交媒体账户以及各种欺诈计划。
艾森说不清楚有多少人以这种方式受到攻击,但自动化技术可以创造数十亿的电话,诱使人们放弃信息或密码。
切换手机还是欺诈?
一些分析人士表示,黑客已经找到了方法,可以轻松获取足够的信息,让电信运营商将一个号码转移到欺诈者账户,特别是在大型数据库乱砍导致个人数据在所谓的“黑暗网络”上销售之后。
“移动帐户的短信可能被复杂的硬件技术劫持,但也被所谓的'社会工程'劫持 - 说服移动提供商将您的帐户迁移到另一个未经授权的手机,”前白宫的R. David Edelman说。负责麻省理工学院网络安全研究中心的顾问。
像Dorsey经历的恶作剧只需要几分钟的混乱。”
据报道,在移动支付很普遍的国家,包括巴西,莫桑比克,印度和西班牙,已有数千起这类攻击。
安全公司卡巴斯基的研究人员表示,许多移动运营商的安全系统“很弱,让客户对SIM交换攻击开放”,特别是如果攻击者能够收集出生日期和其他数据等信息。
在最近的博客文章中,卡巴斯基研究人员Fabio Assolini和Andre Tenreiro表示,一些案件来自网络犯罪分子,他们为移动运营商的腐败员工付款 - 每名受害者只需10至15美元。
研究人员写道:“网络犯罪分子对此类攻击的兴趣如此之大,以至于他们中的一些人决定将其作为服务出售给其他人。”
在巴西,一些犯罪分子已经接管了受害者的WhatsApp帐户,利用它来向该人的朋友询问“紧急付款”,Assolini和Tenreiro写道。
因欺诈而“成熟”
“这是一个非常成熟的欺诈途径,”华盛顿民主与技术中心的技术专家约瑟夫·霍尔说。
霍尔表示,一些运营商正在使用人工智能将合法的SIM卡替代品与欺诈分开,但这并没有普遍部署。
“我会责怪运营商没有更强大的方式对用户进行身份验证,”他补充道,同时还呼吁Twitter提供更好的保护措施。
霍尔说,来自总统或其他知名人士的伪造推文可能会导致“毁灭性后果”,例如金融市场暴跌。
“这种事情变得难以抵消,因为即使在信息公布之后,这是一个骗局,人们可能也不相信,”他说。
Hall表示,Dorsey案例强调了对更好的身份验证形式的需求,特别是对于Facebook和Twitter等大型在线平台,消息可能会产生影响。
霍尔指出,这可能涉及插入设备或基于软件的系统(如Google身份验证器)的物理密钥。
Eisen说,矛盾的是,推动更长和更复杂的密码导致更多使用不安全的文本消息进行身份验证。
“安全从业者必须接受这样一个事实,即过去工作的东西现在不起作用,”他说。
“我们需要寻找那些不容易被坏人利用的解决方案,并且人们很容易采用这些解决方案。